0x00 前言

前几天,老板给了几个压缩包,说是某网站被攻击了已经被拖库,这是IIS的日志,让我们分析分析,攻击者是从什么角度攻击的,如何拿下的shell,是否是有0day,让我们分析并学习一下。

0x01 WEB日志格式

 WEB日志是网站分析和网站数据数据整理最基础的数据,了解其格式和组成将有利于更好地进行数据的收集、处理和分析。从目前主流WEB服务器支持的日志类型来看,常见的有两类:

  1. Apache才用的NCSA日志格式
  2. IIS才用的W3C日志格式

被攻击的网站是Windows+IIS7.5,WEB程序是用ThinkPHP开发的,并且服务器部署了安全狗。
IIS日志建议使用W3C扩充日志文件格式,这也是IIS 5.0已上默认的格式,可以指定每天记录客户IP地址、用户名、服务器端口、方法、URI资源、URI查询、协议状态、用户代理。其日志字段如下,亦可在日志文件头部查看。
字段.png

0x02 日志分析

经询问得知服务器是最近才遭到入侵的,于是将IIS日志解压后提取2017年1月1日以后的日志,使用Log Parser软件进行查询分析。
查询命令为:

SELECT DISTINCT cs-uri-stem FROM '[LOGFILEPATH]' WHERE cs-method = 'GET' AND sc-status = 200 and cs-uri-stem LIKE '%.php'

查询结果如下图所示:
图片1.png

以此推断出服务器可能存在Fastcgi解析漏洞。

0x03 漏洞证实

发现存在KindEditor编辑器demo上传页面
http://foo.com/Public/editor/php/demo.php
此时复现不能上传图片、附件、flash等,找了一处web本地图片,url如下
http://foo.com/Public/editor/image/20130318/20130318005667_9707.jpg

图片2.png

测试漏洞
http://foo.com/Public/editor/image/20130318/20130318005667_9707.jpg/.php

图片3.png

后经测试,KindEditor编辑器文件管理功能已损坏,可遍历服务器目录,怀疑KindEditor编辑器已遭渗透者修改。

0x04 修补建议

  1. 将KindEditor编辑器demo页面删除
  2. 修改php.ini文件,将cgi.fix_pathinfo的值设置为0,完成后重启PHP和IIS
  3. 将上传目录取消可执行权限

0x05 关于Fstcgi解析漏洞

Fastcgi协议分析 && PHP-FPM未授权访问漏洞 && Exp编写

在PHP中使用FastCGI解析漏洞及修复方案

标签:none

添加新评论