一條SQL注入引出的驚天大案

前情回顧：

WAF公司攔截到一個神祕的HTTP數據包，在這個包的表單字段中發現了SQL語句。目標指向80端口，而這正是nginx公司的地盤。詳情參見：一個HTTP數據包的奇幻之旅

 

虛擬機的世界

一個安靜的夜晚，我，一個新的線程誕生了！

我擡頭一看，原來我降生的地方是在一個IE瀏覽器中，這裏是一個Windows帝國！

 

一輩子下來就要幹活了，拿着個人代碼開始忙活。

忙碌了一下子，正當我在磁盤上寫入了一個kernerl32.dll文件，我忽然被凍結了，動彈不得，不只如此，我看到其餘線程也被凍結了，整個Windows帝國像是被冰封了通常！

「小樣，總算現出了原型，果真是一個漏洞攻擊網頁！」，周圍忽然響起了一個聲音。

「誰？誰在說話？」，我大聲呼喊。

「別掙扎了，你如今在虛擬機裏，命運由我掌控！」。

  

虛擬機？！原來這個Windows帝國是一個虛擬的世界，我開始爲個人命運擔心起來。

忽然，漆黑降臨，身邊的線程一個個消失，帝國大廈也陸續坍塌，終於，輪到了我，我這短暫的一輩子就這樣結束了·······

 

這究竟是怎麼一回事？故事還得從那個被WAF公司攔下的HTTP數據包提及。

  

突襲nginx公司

WAF公司攔下那個數據包的當晚，黑衣人帶隊闖入nginx公司。

「把大家頭兒叫來，咱們是WAF公司的安全人員，發現一塊兒針對80端口的SQL注入，經查80端口是大家nginx公司在監聽」。

小馬哥聞訊趕來，瞭解狀況後，卻鬆了一口氣。

」這位大哥，80端口確實是咱們在監聽不錯，但咱們只是作代理轉發，實際提供服務的是隔壁Apache公司，大家仍是去他們那裏看看吧「。

 

見黑衣人不信，小馬哥拿出了公司的配置文件：

server {
    listen   80;
    location / {
        proxy_pass http://127.0.0.1:8088;
    }   
}

黑衣人看罷，查了下8088端口的監聽者，轉身離去，直奔Apache公司。

 

發現案情

Apache公司當值的小胖被黑衣人的來勢洶洶嚇了一跳，代表來意後，小胖帶着黑衣人來到了日誌管理部門，開始分析起了這段時間的Web日誌。

不看不知道，一看嚇一跳，原來在WAF公司來到帝國以前，已經發生了多起的SQL注入事件！忽然一條日誌中的SQL引發了黑衣人的注意：

select url from imgs into outfile '/var/www/welcome.php'

　　

這是向磁盤寫入了一個文件啊！憑藉多年經驗，黑衣人判定welcome.php是一個webshell木馬。

一旁的小胖也嚇了一跳，趕忙解釋說：大人，這不關咱們Aapche的事兒啊，這是那個外包公司PHP搞的，是他們的問題。

 

黑衣人沒有多言，連忙去帝國文件管理部去檢查這個文件。

然而當黑衣人拿到這個文件後，發現它和本身見過的webshell並不同，內容中出現了很多的js代碼和大量的未知編碼數據。

黑衣人想起遠在Windows帝國的老周，或許他知道這是什麼。

（關於老周的故事，歡迎移步：我是一個殺毒軟件線程）

 

361殺毒公司的老周收到了黑衣人的消息，開始對這個文件進行分析。

老周看着有點眼熟，但又想不起什麼時候曾經見過。

老周不敢貿然讓其運行，以防發生不測，決定將其放在一個虛擬的環境中運行，看看它的反應。

因而發生了前面的那一幕······

 

大戰前夕

老周準備向WAF公司黑衣人反饋分析的結果。

老弟：

你讓我分析的文件已經有結果了。昨天剛拿到的時候還以爲有點眼熟，今天一分析果真，以前咱們這裏的IE瀏覽器就曾經中過招！

這是一個包含瀏覽器漏洞攻擊的網頁，Windows帝國的IE瀏覽器只要一打開就會被植入木馬程序。

詳細的分析報告請在附件中查看。

——老周

 黑衣人收到老周的報告，內心更加的忐忑，從日誌分析來看，這條SQL注入記錄已經有一個多月了，這期間已經有數不清的瀏覽器來請求這個welcome.php頁面，不知道有多少人中了招。。。

容不得多想，黑衣人趕忙清除了這個文件，並讓小胖通知PHP公司，修復漏洞。

夜深了，黑衣人離去，一切重歸安寧。

 

Linux帝國網絡部負責TCP鏈接的小Q準備打個盹兒，這麼晚估計是沒有活幹了。

沒想到剛躺下，就來了一個鏈接請求，小Q揉揉惺忪的睡眼，準備來處理，而後接着很快來了第二個，第三個，第四個······

奇怪的是，每個鏈接只發送了一個SYN就沒了音訊，小Q開始意識到狀況不妙，拉響了帝國安全警報······

 

未完待續·······

 

彩蛋

「大人，咱們安插在Linux帝國的「夜鶯」被拿下了，接下來該如何是好？」

「無妨，咱們的目的已經達到。是時候給他們一點顏色看看了，養兵千日，用兵一時，啓動狼羣計劃！」

 

欲知後事如何，請關注後續精彩：《DDoS攻擊－無限戰爭》

 

精彩回顧：

我是一個explorer的線程

我是一個殺毒軟件線程

我是一個IE瀏覽器線程

比特宇宙－TCP/IP的誕生

產品vs程序員：你知道www是怎麼來的嗎？

我是一個流氓軟件線程

默認瀏覽器爭霸傳奇

遠去的傳說：安全軟件羣雄混戰史

一個HTTP數據包的奇幻之旅

闖蕩Linux帝國：nginx的創業故事

內核地址空間大冒險：系統調用