文章详情

短信预约-IT技能 免费直播动态提醒

请输入下面的图形验证码

提交验证

短信预约提醒成功

记编辑器漏洞引发的应急处理

2024-12-03 04:04

关注

作为一个网站管理员,你没发现的漏洞,你的对手却帮你找到了,并在你的网站里留下了Webshell。这个时候对抗就开始了,找出漏洞根源,捕获攻击者,赢下这场对抗,这个过程本身就挺有意思的。

1. 事件起因

接到云安全中心安全预警,发现后门(Webshell)文件,申请服务器临时管理权限,登录服务器进行排查。

2. 事件分析

(1) 确认Webshell

进入网站目录,找到木马文件路径,确认为Webshell。应急处理:通过禁止动态脚本在上传目录的运行权限,使webshell无法成功执行。

(2) 定位后门文件上传时间

根据Webshell文件创建时间,2020年3月9日 15:08:34 。

(3) Web访问日志分析

PS:由于,IIS日志时间与系统时间相差8小时,系统时间是15:08,这里我们需要查看的是 7:08的日志时间。

找到对应的Web访问日志,在文件创建时间间隔里,我们会注意到这样一个ueditor的访问请求,初步怀疑可能与UEditor编辑器漏洞有关。

(4) 漏洞复现

以 UEditor编辑器 文件上传漏洞作为关键字进行搜索,很快我们就在网络上找到了poc。接下来,我们来尝试进行漏洞复现。

A、本地构建一个html

B、上传webshell

C、登录服务器确认文件

经漏洞复现,确认网站存在UEditor编辑器任意文件上传漏洞。

(5) 溯源分析

通过日志分析,定位到了攻击者的IP地址,对这个IP相关文件的访问记录进行跟踪,可以还原攻击者行为。攻击者首先访问了网站首页,然后目录扫描找到UEditor编辑器路径,通过任意文件上传漏洞成功上传webshell。

3. 事件处理

 

来源:Bypass内容投诉

免责声明:

① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。

② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341

软考中级精品资料免费领

  • 历年真题答案解析
  • 备考技巧名师总结
  • 高频考点精准押题
  • 2024年上半年信息系统项目管理师第二批次真题及答案解析(完整版)

    难度     813人已做
    查看
  • 【考后总结】2024年5月26日信息系统项目管理师第2批次考情分析

    难度     354人已做
    查看
  • 【考后总结】2024年5月25日信息系统项目管理师第1批次考情分析

    难度     318人已做
    查看
  • 2024年上半年软考高项第一、二批次真题考点汇总(完整版)

    难度     435人已做
    查看
  • 2024年上半年系统架构设计师考试综合知识真题

    难度     224人已做
    查看

相关文章

发现更多好内容

猜你喜欢

AI推送时光机
位置:首页-资讯-后端开发
咦!没有更多了?去看看其它编程学习网 内容吧
首页课程
资料下载
问答资讯