登陆 注册

记朋友的博客被黑分析的过程

Admin 2020-02-24 475人围观 ,发现0个评论 被黑分析sql注入

一朋友,联系我说他的博客被黑了,让我帮忙看看问题在哪儿,对此,也分享一下日志分析中的一些经验。当然其中也有一些曲折经历,暂且就不说了。而我的朋友被黑了好几天才告诉我 一次血腥的经历

记朋友的博客被黑分析的过程 Web安全 第1张

发现网站被挂马了 

记朋友的博客被黑分析的过程 Web安全 第2张

腾讯也给朋友发安全警告了  我第一反应先让他关站 

我登上他的服务器 因为他的服务器用的阿帕奇的 我就去找阿帕奇的 日志

发现网站一直有木马文件不断出现

记朋友的博客被黑分析的过程 Web安全 第3张

发现是没有限制php上传权限

记朋友的博客被黑分析的过程 Web安全 第4张

记朋友的博客被黑分析的过程 Web安全 第5张

由于我拿到的日志是.log文件,只是简单记录了IP 时间 URL Refer 和状态码,而且有1w+的日志记录,当然不会那么傻,一个个去排查(当然也得细心关注每一个才不会错过关键信息)

发现一个IP一直再扫描目录

记朋友的博客被黑分析的过程 Web安全 第6张


于此,我们继续向前分析才是对的,(此处我被迷惑,大量的404让我认为是扫描器还未拿到结果,然而却是混淆视听)。
我们直接全局定位此IP:124.14.212.49

顺便粗略定位一下IP地址


记朋友的博客被黑分析的过程 Web安全 第7张

原来是广东老表 

全局定位IP,一直找到最开始出现这个IP的地方,然后再依次向下分析,果然没找几下,就发现了问题:

记朋友的博客被黑分析的过程 Web安全 第8张

这几处都是post 应该是在sql注入

124.14.212.49 - - [23/Feb/2020:15:36:19 +0800] "GET /mysqlimg/uploads/fm-5e522b2a53ae0.php HTTP/1.1" 200 138 而这里应该就是木马文件了 里面含有 一句话

而且他一直再POST请求/html/message/fabiao.php

随后我就看了一下这个/html/message/fabiao.php文件

一眼就看出这里有问题

记朋友的博客被黑分析的过程 Web安全 第9张

看下这一段代码

$query = mysqli_query($conn,"insert into message values (null,'$name','$data','$text');");

SQL语句insert中插入变量无单引号保护,可能存在SQL注入漏洞

这里也没有过滤 就存在sql报错注入

这里就不复现了 自己burp 抓包 放到sqlmap里面跑就行

拿到Admin的Md5登入后台 插入一句话就行

人家刚写的博客 全网独一无二0day什么的这程序是不应该存在的

这种Log日志的分析比数据包分析的难度稍大,而且无法非常准确的推断攻击者的利用手段,只能大致猜测。此次日志分析较为粗略,由于日志条件所限,无法进一步挖掘。最后,告诫各位站长,后台路径记得隐藏,请参考文章所述方法,其二,弱口令,等死吧!!!

蚁人博客为了正能量出击 嘻嘻!!!


1.网站被黑了 首先关站不要损失了财务

2.查看网站上面的Web日志 log

3.写了php文件一定要考虑有没有过滤

4.安装个安全狗 虽然我很讨厌安全狗 还是安装了

5.网站多做备份 不然没删库跑路 哭都来不及

请发表您的评论
蚁人QQ二维码
蚁人QQ二维码
不容错过
Powered By 蚁人博客