웹쉘 업로드 추적성 이벤트 분석 예시

검사 및 검사

우선 업로드된 위치가 어디 나오는지 찾아보는 것이 아닌 것으로 알고 있습니다. 서버에 로그인하여 웹쉘 검사 및 검사를 진행하여 침입 여부를 확인해야 합니다. 백도어 등이 있습니다. 신고된 IP 주소는 저희 회사의 IP 주소임에도 불구하고 몇 개의 웹쉘이 누락되어 다른 사람이 성공적으로 업로드했지만 감지되지 않는 경우, 서버가 침입당했다면 어떻게 해야 할까요? 그래서 서버를 검사하러 올라가서 이 웹쉘 킬링 도구를 업로드하고 netstat -anpt 및 iptables -L을 사용하여 백도어가 설치되어 있는지 확인하고 CPU를 점유하는 마이닝 프로그램이 있는지 확인하는 등의 작업을 수행합니다. 여기서 자세히 설명하지 마세요. 다행스럽게도 서버는 손상되지 않았으며, 이 업로드 지점에 무슨 일이 일어났는지 생각하기 시작했습니다.

파일 업로드 취약점 검토

우선 공개된 이 서버의 주소를 문의한 개발자에게 물어보니 주소를 알아본 결과 낯익은 주소가 있었습니다. 제가 얼마 전에 테스트한 것입니다. 이때 조금 당황스러운 마음이 들어서 수정사항에 대해 개발자에게 문의했는데, 마지막 테스트 결과 업로드 장소에서 jpeg, png 등의 이미지 형식만 업로드를 허용하는 화이트리스트 제한을 사용하고 있는 것을 발견했습니다. 그 당시 화이트리스트에 의해 업로드가 제한되어 있고 업로드된 파일 이름에 임의의 숫자가 추가되었으며 시간 규칙이 일치했음에도 불구하고 반환 패키지에서 업로드 경로와 파일 이름이 여전히 발견되었다는 사실도 발견했습니다. 다른 파일과 달랐습니다. 그렇지 않으면 파일에 취약점이 포함될 수 있으므로 수정을 수행해야 한다는 제안이 있었습니다. 그는 실제로 수정이 수행되었으며 경로가 더 이상 반환되지 않는다고 말했습니다.

파일 접미사 인코딩 우회

최근 수정된 문제에 대해 논의하고 검토한 후 제 생각을 명확히 했습니다. 그런 다음 웹사이트에 로그인하여 이유를 확인했습니다. 웹사이트에는 사진을 업로드할 수 있는 곳이 한 곳밖에 없기 때문에 패킷을 캡처하려고 리피터를 사용하여 패키지를 재생한 후 반환된 패키지가 파일 업로드를 반환하지 않는 것을 발견했습니다. 그런 다음 다양한 우회 경로를 시도했지만 결과는 좋지 않았습니다. 결국 고민 끝에 아무런 결과도 얻지 못했고, 클라우드 플랫폼에 알람이 제공되는 이유가 무엇인지 물었습니다. 클라우드 플랫폼에서 피드백 결과를 읽어보니 이미지 코드가 있는 것으로 나타났습니다.업로드한 파일에 실행 권한이 없으며, 파일 이름이 임의로 변경되지 않았습니다. 그런데 이 jsp가 성공적으로 업로드된 이유는 무엇입니까? 알겠습니다. 이것이 나를 당황하게 만듭니다.

클라우드 플랫폼에서 제공하는 webshel ​​데이터를 유심히 살펴보니 파일명이 base64 인코딩을 사용하고 있는 것을 유심히 관찰했는데 이미 랜덤으로 만들어놨는데 왜 인코딩을 해야 하는지 헷갈렸습니다. 기능? 지난 번 테스트했을 때 코딩이 없습니다. 갑자기 문제의 핵심이 생각나서 burpsuite의 디코더 모듈을 사용하여 파일 이름 "1.jsp"를 "MS5Kc1A="로 base64로 인코딩한 다음 이 업로드 대신 성공적인 피드백 상태 코드 200을 보냈습니다. 실패 피드백 상태 코드는 500 오류입니다.

그래서 문제는 수정 과정에서 R&D 직원이 파일명을 base64 인코딩을 사용했기 때문에 저장 과정에서 파일명을 base64로 디코딩하게 되었고, 파일을 업로드할 때 접미사 .jsp 이 base64 인코딩을 사용하면 R&D에서는 디코딩 후 화이트리스트 제한을 적용하지 않았습니다. 사실 이런 코딩 변경은 불필요합니다. 결국 난수를 사용하여 파일 이름을 변경했으며 추가 코딩이 다소 불필요한 이유입니다. 프로그램 버그를 변경하면 더 많은 버그가 발생합니다.

위 내용은 웹쉘 업로드 추적성 이벤트 분석 예시의 상세 내용입니다. 자세한 내용은 PHP 중국어 웹사이트의 기타 관련 기사를 참조하세요!