记一次应急的回顾

Posted by 跳跳龙 on March 15, 2019

(文章版权归笔者跳跳龙所有,谢绝转载,请勿拾人牙慧)

下午HIDS的webshell检测发现某台公网机器被黑。

通过HIDS所检测到的木马,利用菜刀登上服务器拉取日志。

确认app的日志,发现服务使用了nginx,在etc/nginx目录的配置文件中,发现了app的log文件目录。

使用菜刀下载。

通过分析第一次访问shell地址的ip即为攻击者ip的方法确定了ip。

然后在分析黑客是如何利用漏洞攻击上去的时候,这里我的思路偏了,没有找到,后来在子昂同学的帮助下找到了问题。

在日志里发现了很多admingroups.php的请求,通过google搜索,发现漏洞踪迹。

Discuz 7.x/6.x 全局变量防御绕过导致代码执行

黑客利用解析cookie中的变量导致覆盖了全局变量达到的命令执行写shell。

这里是需要攻击页面存在表情才可以。但是其他版本上存在有没有表情都可以,具体还要从代码上来看。

后面准备出一篇这个漏洞的分析教程,这里仅为应急的一次备忘。