웹쉘 업로드 추적성 이벤트 분석 예시
검사 및 검사
우선 업로드된 위치가 어디 나오는지 찾아보는 것이 아닌 것으로 알고 있습니다. 서버에 로그인하여 웹쉘 검사 및 검사를 진행하여 침입 여부를 확인해야 합니다. 백도어 등이 있습니다. 신고된 IP 주소는 저희 회사의 IP 주소임에도 불구하고 몇 개의 웹쉘이 누락되어 다른 사람이 성공적으로 업로드했지만 감지되지 않는 경우, 서버가 침입당했다면 어떻게 해야 할까요? 그래서 서버를 검사하러 올라가서 이 웹쉘 킬링 도구를 업로드하고 netstat -anpt 및 iptables -L을 사용하여 백도어가 설치되어 있는지 확인하고 CPU를 점유하는 마이닝 프로그램이 있는지 확인하는 등의 작업을 수행합니다. 여기서 자세히 설명하지 마세요. 다행스럽게도 서버는 손상되지 않았으며, 이 업로드 지점에 무슨 일이 일어났는지 생각하기 시작했습니다.
파일 업로드 취약점 검토
우선 공개된 이 서버의 주소를 문의한 개발자에게 물어보니 주소를 알아본 결과 낯익은 주소가 있었습니다. 제가 얼마 전에 테스트한 것입니다. 이때 조금 당황스러운 마음이 들어서 수정사항에 대해 개발자에게 문의했는데, 마지막 테스트 결과 업로드 장소에서 jpeg, png 등의 이미지 형식만 업로드를 허용하는 화이트리스트 제한을 사용하고 있는 것을 발견했습니다. 그 당시 화이트리스트에 의해 업로드가 제한되어 있고 업로드된 파일 이름에 임의의 숫자가 추가되었으며 시간 규칙이 일치했음에도 불구하고 반환 패키지에서 업로드 경로와 파일 이름이 여전히 발견되었다는 사실도 발견했습니다. 다른 파일과 달랐습니다. 그렇지 않으면 파일에 취약점이 포함될 수 있으므로 수정을 수행해야 한다는 제안이 있었습니다. 그는 실제로 수정이 수행되었으며 경로가 더 이상 반환되지 않는다고 말했습니다.
파일 접미사 인코딩 우회
최근 수정된 문제에 대해 논의하고 검토한 후 제 생각을 명확히 했습니다. 그런 다음 웹사이트에 로그인하여 이유를 확인했습니다. 웹사이트에는 사진을 업로드할 수 있는 곳이 한 곳밖에 없기 때문에 패킷을 캡처하려고 리피터를 사용하여 패키지를 재생한 후 반환된 패키지가 파일 업로드를 반환하지 않는 것을 발견했습니다. 그런 다음 다양한 우회 경로를 시도했지만 결과는 좋지 않았습니다. 결국 고민 끝에 아무런 결과도 얻지 못했고, 클라우드 플랫폼에 알람이 제공되는 이유가 무엇인지 물었습니다. 클라우드 플랫폼에서 피드백 결과를 읽어보니 이미지 코드가 있는 것으로 나타났습니다.업로드한 파일에 실행 권한이 없으며, 파일 이름이 임의로 변경되지 않았습니다. 그런데 이 jsp가 성공적으로 업로드된 이유는 무엇입니까? 알겠습니다. 이것이 나를 당황하게 만듭니다.
클라우드 플랫폼에서 제공하는 webshel 데이터를 유심히 살펴보니 파일명이 base64 인코딩을 사용하고 있는 것을 유심히 관찰했는데 이미 랜덤으로 만들어놨는데 왜 인코딩을 해야 하는지 헷갈렸습니다. 기능? 지난 번 테스트했을 때 코딩이 없습니다. 갑자기 문제의 핵심이 생각나서 burpsuite의 디코더 모듈을 사용하여 파일 이름 "1.jsp"를 "MS5Kc1A="로 base64로 인코딩한 다음 이 업로드 대신 성공적인 피드백 상태 코드 200을 보냈습니다. 실패 피드백 상태 코드는 500 오류입니다.
그래서 문제는 수정 과정에서 R&D 직원이 파일명을 base64 인코딩을 사용했기 때문에 저장 과정에서 파일명을 base64로 디코딩하게 되었고, 파일을 업로드할 때 접미사 .jsp 이 base64 인코딩을 사용하면 R&D에서는 디코딩 후 화이트리스트 제한을 적용하지 않았습니다. 사실 이런 코딩 변경은 불필요합니다. 결국 난수를 사용하여 파일 이름을 변경했으며 추가 코딩이 다소 불필요한 이유입니다. 프로그램 버그를 변경하면 더 많은 버그가 발생합니다.
위 내용은 웹쉘 업로드 추적성 이벤트 분석 예시의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!
핫 AI 도구
Undresser.AI Undress
사실적인 누드 사진을 만들기 위한 AI 기반 앱
AI Clothes Remover
사진에서 옷을 제거하는 온라인 AI 도구입니다.
Undress AI Tool
무료로 이미지를 벗다
Clothoff.io
AI 옷 제거제
Video Face Swap
완전히 무료인 AI 얼굴 교환 도구를 사용하여 모든 비디오의 얼굴을 쉽게 바꾸세요!
인기 기사
뜨거운 도구
메모장++7.3.1
사용하기 쉬운 무료 코드 편집기
SublimeText3 중국어 버전
중국어 버전, 사용하기 매우 쉽습니다.
스튜디오 13.0.1 보내기
강력한 PHP 통합 개발 환경
드림위버 CS6
시각적 웹 개발 도구
SublimeText3 Mac 버전
신 수준의 코드 편집 소프트웨어(SublimeText3)
nginx 로드 밸런싱에서 웹셸 업로드를 구현하는 방법
May 16, 2023 am 08:16 AM
시나리오 설명에서는 실제 프로덕션 환경에 RCE 취약점이 있다고 가정하고 이를 통해 WebShell 환경을 설치할 수 있습니다. 먼저 GetHub에서 취약한 이미지를 가져오기 전에 Centos에 nginx와 tomcat을 미리 설치해야 합니다. nginx 및 tomcat 구성 파일을 구성하고 docker를 사용하여 이미지를 풀다운한 후 취약점을 재현합니다. 1. 먼저 docker 환경을 설정합니다. 2. tomcat에 액세스할 수 있는지 테스트합니다. 위 그림에서 볼 수 있듯이 백엔드 tomcat에 액세스할 수 있습니다. 3. docker에서 nginx 리버스 프록시의 로드 밸런싱을 확인합니다. docker .jsp 텍스트의 lbsnode1에서 개미를 확인하세요.
모제사격장 WebShell 파일 업로드 취약점의 출처를 분석하고 추적하는 방법
Jun 01, 2023 am 08:55 AM
1. URL을 열어보니 업로드 페이지인 것으로 확인되었습니다. 2. 접미사 php로 파일을 직접 업로드했으나 업로드할 수 없는 것으로 확인되었습니다. 3. BurpSuite를 사용하여 패킷을 캡처하고 접미사를 변경합니다. php5라는 접미사가 붙은 업로드된 파일을 우회합니다. 4. 부엌칼을 사용하여 연결합니다. var/www/html 디렉터리에서 KEY가 있는 파일을 찾습니다. 업로드 페이지이기도 한 다른 URL이지만 업로드 목록이 설정되어 있습니다. 6을 통해 접미사가 .gif.jpg.png인 파일만 업로드하도록 허용합니다. txt 한 문장의 트로이 목마를 작성하고 접미사를 jpg7로 변경합니다. 업로드 시 BurpSiuit를 사용하여 패킷을 캡처하고 표시할 파일 접미사를 수정합니다.
Pagoda 패널의 WebShell 보안 설정
Jun 21, 2023 pm 04:35 PM
인터넷 보안 문제가 점점 중요해지면서 주요 웹사이트와 애플리케이션의 보안이 점점 더 중요한 문제가 되었습니다. 특히 웹사이트 운영 및 유지 관리에는 유지 관리를 위해 WebShell과 같은 도구가 필요한 경우가 많습니다. 그러나 WebShell은 해커가 자주 사용하며 공격자의 침입 진입점이 됩니다. 이 문서에서는 웹사이트 관리자가 사이트 보안을 향상하는 데 도움이 되는 Pagoda 패널의 WebShell 보안 설정을 소개합니다. 1. WebShell의 개념과 일반적인 용도 1. 개념 WebShell은
Empire CMS 프레임워크의 Webshell에 대한 간략한 토론
Mar 16, 2021 am 10:48 AM
이 기사에서는 Empire CMS 프레임워크의 Webshell을 소개합니다. 도움이 필요한 친구들이 모두 참고할 수 있기를 바랍니다.
WebShell 트래픽 탐지에 대한 WAF의 성능 분석은 무엇입니까?
May 16, 2023 pm 07:47 PM
로컬 환경 설정 보관된 스크린샷으로 판단하면 상대방의 PHP 버전은 5.6.40이므로 apache+php5.6.40의 테스트 환경을 설정하고자 합니다. virtualbox를 열고 centos 이미지 시스템에 대한 링크를 복사한 후 다음 과정에 따라 구성합니다. 1.apacheyuminstall-yhttpdhttpdhttpd-v서버 버전 설치:Apache/2.4.6(CentOS)서버 빌드:Aug8201911:41:182.php5.6yum-yinstallepel-releaserpm-Uvh 설치https://mi
웹사이트 취약점 복구: 웹쉘 취약점 패치 업로드 분석 예시
May 30, 2023 pm 01:49 PM
SINE Security에서는 고객의 웹사이트에 대한 웹사이트 취약점 탐지 및 복구 작업을 수행하던 중 해당 웹사이트에 심각한 SQL 인젝션 취약점이 있음을 발견했으며, 해당 웹사이트는 CMS 시스템을 사용하고 PHP 언어로 개발되었으며 mysql 데이터베이스 아키텍처를 사용하고 있었습니다. 이 웹사이트의 소스 코드는 현재 오픈 소스입니다. 특정 CMS는 유료 지식 제공에 초점을 맞춘 소셜 CMS 시스템으로, 현재 인터넷에서는 지식에 대한 결제 수요가 높습니다. 이 시스템은 사용자가 게시한 지식 콘텐츠를 유료로 다운로드할 수 있습니다. 유료 고객에게 읽어보세요. 코드는 상대적으로 간결하며 대부분의 웹마스터가 선호합니다. 이 웹사이트의 취약점은 주로 압축 패키지를 업로드하고 zip 패키지의 w를 참조하는 악성 압축 해제 코드를 구성할 때 발생합니다.
난독화된 변형에 대한 웹쉘 분석이란 무엇입니까?
May 19, 2023 pm 11:07 PM
웹쉘이란 무엇입니까? 처음에는 웹서버 관리자가 서버를 원격으로 관리하기 위해 사용하는 스크립트 종류의 약어로 Webshell을 자주 사용했습니다. 나중에 일부 Webshell 관리 도구가 탄생하면서 웹 권한을 얻는 과정이 크게 단순화되어 점차 웹 침입 도구 스크립트라고 불렸습니다. Webshell은 취약점과 다르지만 애플리케이션 취약점이나 서버 취약점(파일 업로드 취약점, 파일 포함 취약점 등)을 이용하여 스크립트 파일을 서버에 업로드하여 후속 악용을 위한 침투 테스트 및 TA0002Execution(실행)에 속합니다. ) ATT&CK 단계. 그림 1TA0002 참조 소스: https
웹쉘 업로드 추적성 이벤트 분석 예시
May 12, 2023 pm 02:43 PM
우선 내가 해야 할 일은 업로드된 위치가 어디에 나오는지 찾아보는 것이 아니라는 점을 이해한다. 서버에 로그인하여 웹셸 검사와 타인의 침입 여부를 확인하는 검사를 해야 한다. 백도어 등 신고된 IP 주소는 저희 회사의 IP 주소임에도 불구하고 몇 개의 웹쉘이 누락되어 다른 사람이 성공적으로 업로드했지만 감지되지 않는 경우, 서버가 침입당했다면 어떻게 해야 할까요? 그래서 서버를 점검하러 올라가서 이 웹쉘 킬링 툴을 업로드하고, netstat-anpt와 iptables-L을 사용해 백도어가 설치되어 있는지 확인하고, CPU를 점유하는 마이닝 프로그램이 있는지 확인하는 등의 작업을 하게 됩니다. 여기서 자세히 설명하지 마세요. 다행히 서버는 손상되지 않았고, 이후
