前言
- 在整理之前的文件时,在U盘看到大学在信息中心兼职处理过的报告,清一下库存。该文章记录时间为2019年,里面描述的东西可能已经过时了,网站域名和站点已经不存在了。主要内容有:图片木马和IIS服务的解析漏洞,和修复方案。
事件起因
- 学校招生官网服务器查杀出来木马,但是不知道在哪入侵的,然后需要找到漏洞入口和修复漏洞。
- 登录服务器后下载D盾和火绒杀毒全盘扫描了一遍,将可疑的都拷贝到一个文件夹和路径记录备份。
入侵复现分析
- 在上面的查杀记录中木马都在upload和图片文件夹目录,所以初步判断是根据文件上传入侵的,看了一下网站发现可以注册任意的访客帐号,可以上传图片和文档类型的文件。
- 在上面可以看到网站搭建在服务器的,D:\PC_webserver1\wwwroot\zscx\,有时候就是差这一个物理路径就可以上传木马,或者利用其他漏洞上传文件到网站目录执行。
- 一句话木马是经过混淆过的,可能在当时是没有杀毒软件可以查杀。
服务器存在解析漏洞
- 文件上传找到了,还需要执行上传后的的文件,因为上传的都是图片和文档文件,直接访问并不会被执行,除非解析漏洞或者文件包含漏洞等等,看了IIS的版本试了一下解析漏洞,还真有。
- 在刚刚发现的xls文件后面添加/.php,
http://*****:8090/admin/upload/uploadfile/20181011.xls/.php
- 同上还在zsb的图片目录发现一句话的图片木马。
- 密码为
smoking,在URL后面加入/.php,发现可以解析。证明存在解析漏洞。
- 只要用菜刀连接上去进一步提权就可以获取服务器的限权了。
漏洞修复
漏洞修复后的效果
