亚洲激情专区-91九色丨porny丨老师-久久久久久久女国产乱让韩-国产精品午夜小视频观看

溫馨提示×

溫馨提示×

您好,登錄后才能下訂單哦!

密碼登錄×
登錄注冊×
其他方式登錄
點擊 登錄注冊 即表示同意《億速云用戶服務條款》

Thinkphp RCE漏洞和掃描流量的示例分析

發布時間:2021-03-03 10:24:44 來源:億速云 閱讀:699 作者:清風 欄目:編程語言

這篇文章主要為大家展示了Thinkphp RCE漏洞和掃描流量的示例分析,內容簡而易懂,條理清晰,希望能夠幫助大家解決疑惑,下面讓小編帶大家一起來研究并學習一下“Thinkphp RCE漏洞和掃描流量的示例分析”這篇文章吧。

thinkphp是什么

thinkphp屬于一種免費的開發框架,能夠用于開發前端網頁,最早thinkphp是為了簡化開發而產生的,thinkphp同時也是遵循Apache2協議,最初是從Struts演變過來,也把國外一些好的框架模式進行利用,使用面向對象的開發結構,兼容了很多標簽庫等模式,它能夠更方便和快捷的開發和部署應用,當然不僅僅是企業級應用,任何php應用開發都可以從thinkphp的簡單、兼容和快速的特性中受益。

一、前言

19年初,網上公開了2個Thinkphp5的RCE漏洞,漏洞非常好用,導致有很多攻擊者用掃描器進行全網掃描。我們通過ips設備持續觀察到大量利用這幾個漏洞進行批量getshell的攻擊流量,本文主要從流量角度簡要分析和利用thinkphp進行攻擊的全網掃描和getshell流量痕跡。

二、Thinkphp RCE漏洞和掃描流量

2.1漏洞原理回顧

2.1.15.0.x版本漏洞

原理在于Thinkphp處理請求的關鍵類為Request(thinkphp/library/think/Request.php),該類可以實現對HTTP請求的一些設置

Thinkphp支持配置“表單偽裝變量”,默認情況下該變量值為_method,因此在method()中,可以通過“表單偽裝變量”進行變量覆蓋實現對該類任意函數的調用,并且$_POST作為函數的參數傳入。可以構造請求來實現對Request類屬性值的覆蓋,例如覆蓋filter屬性(filter屬性保存了用于全局過濾的函數),從而實現代碼執行。

2.1.25.1.x-5.2.x版本漏洞

與5.0.x版本漏洞相似,漏洞點都存在于Request(thinkphp/library/think/Request.php)類中,其中:

Thinkphp RCE漏洞和掃描流量的示例分析

$method變量是$this->method,其等同于POST的“_method”參數值,可以利用覆蓋$filter的屬性值(filter屬性保存了用于全局過濾的函數),從而實現代碼執行。

該漏洞觸發時會出現警告級別的異常導致程序終止,此時需要設置忽略異常提示,在public/index.php中配置error_reporting(0)忽略異常繼續運行代碼,如下圖:

Thinkphp RCE漏洞和掃描流量的示例分析

2.2Thinkphp漏洞全網掃描

從流量角度來看,利用Thinkphp漏洞就是發一個http包。我們發現某黑客的掃描器是先寫一個簡單的一句話作為指紋,后續再訪問這個文件看是否返回指紋信息,訪問成功說明shell已經成功,基本就是發兩個http包,掃描器記下成功寫入的shell的網站ip和url然后手工用菜刀連接,進行后續操作。

從IPS設備日志和人工驗證,攻擊者的攻擊步驟包含2步:1、全網掃描發送exp,根據指紋識別是否getshell;2、菜刀連接,進行遠程控制;

2.2.1全網掃描發送exp

一般掃描日志都是遍歷B段或C段,時間也比較密集,某個被記錄的掃描器日志片段如下,

Thinkphp RCE漏洞和掃描流量的示例分析

具備3個特征:1、目的ip為相同C段或者B段,2、端口比較固定,3掃描時間非常密集

掃描器發送的確認shell已經寫入成功的報文,采用掃描器專用的指紋,所以ips是沒有這種檢測規則的。

2.2.2菜刀連接

在攻擊者手工菜刀連接被攻陷的站點時,也會被ips檢測到,通過上下文關聯溯源到thinkphp漏洞作為攻擊者的突破口。挑選幾個當時記錄的典型案例:

被攻陷的鄭州服務器1(122.114.24.216):

Thinkphp RCE漏洞和掃描流量的示例分析

該網站確實為thinkphp5發開,當時webshell木馬還在服務器上未被刪除。可以通過服務器訪問黑客上傳的該木馬,指紋信息為baidu,掃描器用這個指紋來自動判斷getshell成功并記錄url。

Thinkphp RCE漏洞和掃描流量的示例分析

被攻陷的四川服務器(182.151.214.106):

被攻陷的四川服務器(182.151.214.106):

這個案例木馬雖然被清除,但是當時服務器還是可以連通,服務器也是thinkphp框架,用戶名疑似chanpei

Thinkphp RCE漏洞和掃描流量的示例分析

設備記錄了黑客連接木馬并執行網絡查詢命令時的報文,得到的信息與以上報錯信息一致。并且看得出服務器也所處為內網的一臺機器,截圖看到至少該網絡包含192.168.9.0和192.168.56.0兩個子網,如下圖:

Thinkphp RCE漏洞和掃描流量的示例分析

被攻陷的美國服務器(161.129.41.36):

美國這臺服務器上的webshell也被清理掉了,通過設備抓包,發現有黑客使用了相同的webshell木馬,即 x.php,懷疑是同一批黑客。

Thinkphp RCE漏洞和掃描流量的示例分析

黑客在瀏覽美國服務器上x.php(webshell)文件內容時,設備記錄了x.php的密碼為xiao,并且標志位也是baidu。

Thinkphp RCE漏洞和掃描流量的示例分析

可以看出利用這兩個Thinkphp高危RCE漏洞,當時是掃到了大量的服務器漏洞的。

三、總結

本文結合Thinkphp的歷史漏洞原理,分享了發現利用Thinkphp漏洞攻擊成功的案例。目前設備每天檢測到最多的日志就是weblogic、struts2、thinkphp這類直接getshell的日志或者ssh rdp暴力破解日志。很多攻擊者一旦發現最新的exp就裝備到自己的掃描器上面全網一陣掃,一天下來可能就是若干個shell。所以出現高危漏洞后建議用戶及時打上補丁,配置好安全設備策略,從實際幾個案例來看,掃描器的風險一直都在。如果能配置好網站禁止ip直接訪問,能在某種程度上緩解一下這種威脅。

以上就是關于“Thinkphp RCE漏洞和掃描流量的示例分析”的內容,如果改文章對你有所幫助并覺得寫得不錯,勞請分享給你的好友一起學習新知識,若想了解更多相關知識內容,請多多關注億速云行業資訊頻道。

向AI問一下細節

免責聲明:本站發布的內容(圖片、視頻和文字)以原創、轉載和分享為主,文章觀點不代表本網站立場,如果涉及侵權請聯系站長郵箱:is@yisu.com進行舉報,并提供相關證據,一經查實,將立刻刪除涉嫌侵權內容。

AI

尚志市| 南丰县| 乳山市| 丹江口市| 庐江县| 马边| 梧州市| 同德县| 长治市| 夏邑县| 普安县| 同心县| 承德县| 乌拉特中旗| 金溪县| 介休市| 霍山县| 辽宁省| 准格尔旗| 广东省| 九龙坡区| 贵州省| 洪湖市| 河池市| 方正县| 吴忠市| 淅川县| 颍上县| 马龙县| 图们市| 大邑县| 牡丹江市| 新乐市| 银川市| 柳河县| 大理市| 舒城县| 衡阳市| 两当县| 安远县| 湛江市|