实战|记一次wooyun漏洞库意外发现的后门

admin 2022年6月10日10:45:36评论180 views字数 1400阅读4分40秒阅读模式
作者:wangf3eng
文章来源:https://wanf3ng.github.io

0x00 起因

最近在学习各种web漏洞,学习之余就想看看真实案例。于是从github下载了几个wooyun漏洞库玩玩。但由于小严线上的存储桶里也有,我就直接用他的线上存储桶了,没有用到本地下载的wooyun漏洞库。之前下载的文件就一直放那闲置着。

今天插入了一块很久之前的硬盘,是原来的系统盘,想着格式化了当数据盘用。结果一插入就把我本地的硬盘搞乱了,多出来了很多desktop.ini文件,很是恼火。保险起见怕有病毒就用火绒全盘查杀了一下本机的硬盘。

0x01 发现问题

期间就一直放在后台扫描。一个多小时过去了,扫描结果出来。

实战|记一次wooyun漏洞库意外发现的后门

看着我亲自写的笔记被火绒列为病毒,我刚准备吐槽,一个不是我的笔记的文件进入了我的视线。定睛一看,怎么是个图片,在之前下载的乌云漏洞库的图片文件夹里。查杀结果还显示是个webshell,马上提起十二分精神进到这个目录一探究竟

实战|记一次wooyun漏洞库意外发现的后门

00x02 排查过程

文件路径wooyun_img10-14201202150353371e91fe9129583d4ef9fd17b10577ebaa.jpg,以文本形式打开一看,好家伙,果然有一个活蹦乱跳的webshell

实战|记一次wooyun漏洞库意外发现的后门

不得了,黑吃黑啊,这要是把项目部署到服务器上,那不就成了肉鸡了。

去github找到这个仓库,看看issue

实战|记一次wooyun漏洞库意外发现的后门

已经有人提出来了,但作者说是文章里要用到的文件,并没有处理这两个webshell,还把这个issue给close掉了。issue里还提到了另一个文件,我查找了一下这个文件,路径在wooyun_img15-a2015011164029898c19e1752e5afcf54103e6e50f0faa.jpg

实战|记一次wooyun漏洞库意外发现的后门

你才吊毛。。。

随便加个后缀名用vscode以文本形式打开一看,确认了存在图片马,而这个图片马火绒没有查杀出来,N年前的图片马居然过了火绒。。。

实战|记一次wooyun漏洞库意外发现的后门

至此,两个webshell处理完成。由于不知道是否存在更多的未被发现的webshell,我已经不敢再用这个库了

0x03 信息汇总

涉事的github仓库地址:https://github.com/m0l1ce/wooyunallbugs

两个存在webshell的图片路径:

wooyun_img10-14201202150353371e91fe9129583d4ef9fd17b10577ebaa.jpg

wooyun_img15-a2015011164029898c19e1752e5afcf54103e6e50f0faa.jpg

0x04 总结

  1. 用别人开发的web网站或者写的工具,最好自己查一下有没有毒,留个心眼没坏处

  2. N年前的webshell火绒没查出来,火绒的查杀能力有待加强。不过这也不能怪它,毕竟只是个桌面端的杀毒软件,不是webshell专杀软件

  3. 关于webshell是wooyun本来就有的还是仓库作者自行添加的。后来看了一下文件的修改时间,第一个2012年2月的文章图片,修改时间是2014年5月29日,第二个图片修改时间能跟路径中的年月对应上,都不是在2016年之后修改的。可能确实冤枉了仓库作者,而是文章的作者上传的图片马,被留在了图片目录里,引入到了新的系统。。。所以在新系统里引入别的系统的静态资源也是有风险。另外看了一下现存的一些wooyun镜像站,里面这两个图片也是存在木马。

实战|记一次wooyun漏洞库意外发现的后门

实战|记一次wooyun漏洞库意外发现的后门

加个好友

实战|记一次wooyun漏洞库意外发现的后门

推荐阅读

实战|记一次wooyun漏洞库意外发现的后门

欢迎 在看留言分享至朋友圈 三连

好文推荐

原文始发于微信公众号(乌雲安全):实战|记一次wooyun漏洞库意外发现的后门

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2022年6月10日10:45:36
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   实战|记一次wooyun漏洞库意外发现的后门http://cn-sec.com/archives/1105048.html

发表评论

匿名网友 填写信息