Msnshell的那个有问题的官方下载链接追踪

  • A+
所属分类:lcx

事件原始地址:http://weibo.com/1657400240/yjrPq9eZ7

有问题的页面:http://www.msnshell.net/download.html

官方下载地址应该是有问题的,似乎被人替换过,文件只有300多k,virustotal等一堆报毒;而指向天空软件站等下载的就有5.xMB,本地扫描和快速云端扫描似乎无毒。

从网站来看,用的web软件都很旧,dz 6.1,WordPress 2.0.4,还有一个被关闭的wiki。

用http://webscan.360.cn有新发现,发现http://ilove.msnshell.com。进去一看,投票插件有注入,表名显示是dedecms,用户权限只有USAGE。

渗透测试不喜欢拿shell,联想dedecms一堆问题,猜测应该是这个途径导致的服务器沦陷?


后续追踪。

注入查后台管理员表,发现一个信息审核员存在弱密码,进入,发现里面的图片浏览功能存在列目录漏洞,但由于权限问题不能看到和读取除图片之外的其他文件,也不能传其他文件。推测如果是超级管理员,会有上传功能,也相应的存在上传漏洞。

另外,关于帐号,怀疑这个“信息审核员”是黑客留下的,因为其登录ip“220.178.37.42”在google声誉不佳,可能也是肉鸡;而在cmd5里面,发现另一个拥有传文件权限的超级管理员md5已被破译(但需付费查询),从最后进入后台的时间“2011-10-10 09:38:02”来看,估计传shell也不是问题了。

但是以上推测可能存在偏差,因为既然有sql注入,那必然也可以用sql update来抹掉相关入侵信息(测试有效)。

所以,后面的攻击步骤,猜测是黑客通过SQL注入创建了一个超级管理员(或者update一个已有的普通管理员账号到超级),然后登录后台,找到后台的上传漏洞,传shell,然后替换官方文件为木马。不过不够胆量,没走这一步确认是否真的有后台的上传漏洞。

最后,dede版本真旧,2.1......

追踪完毕


Msnshell被入侵导致官方下载里嵌入病毒:http://www.wooyun.org/bugs/wooyun-2010-07214

被替换的恶意文件病毒分析:https://fireeye.ijinshan.com/analyse.html?md5=abe475ce074870214def5e5508f91047

事件原始地址(微博最初发现问题来源):http://weibo.com/1657400240/yjrPq9eZ7 (@偏执狂xj 于 2012-05-16 16:43 来自新浪微博)

疑似中招用户:http://weibo.com/2313369144/yeoEMc0Aq (@当归和黄芪 于 2012-04-13 11:27 来自新浪微博)

Msnshell的那个有问题的官方下载链接追踪:http://zone.wooyun.org/content/242

文章来源于lcx.cc:Msnshell的那个有问题的官方下载链接追踪

相关推荐: 知识科普:iis的一个小疑问,拿到iis匿名访问的帐号密码,能否直接getshell?

关于iis安全的一个小疑问 Mas | 2014-04-18 08:26 iis设置web站点的时候要设置一个用来匿名访问的帐号 假设我知道这个帐号和密码 能不能直接getshell? [原文地址] 相关讨论: 1# luwikes (土豆你个西红柿,番茄你个…

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: