记编辑器漏洞引发的应急处理

admin 2021年9月14日07:42:31安全漏洞评论30 views767字阅读2分33秒阅读模式

作为一个网站管理员,你没发现的漏洞,你的对手却帮你找到了,并在你的网站里留下了Webshell。这个时候对抗就开始了,找出漏洞根源,捕获攻击者,赢下这场对抗,这个过程本身就挺有意思的。


01、事件起因

接到云安全中心安全预警,发现后门(Webshell)文件,申请服务器临时管理权限,登录服务器进行排查。

记编辑器漏洞引发的应急处理

02、事件分析

(1)确认Webshell

进入网站目录,找到木马文件路径,确认为Webshell。应急处理:通过禁止动态脚本在上传目录的运行权限,使webshell无法成功执行。

记编辑器漏洞引发的应急处理

(2)定位后门文件上传时间

根据Webshell文件创建时间,2020年3月9日 15:08:34 。

记编辑器漏洞引发的应急处理

(3)Web访问日志分析

PS:由于,IIS日志时间与系统时间相差8小时,系统时间是15:08,这里我们需要查看的是 7:08的日志时间。

找到对应的Web访问日志,在文件创建时间间隔里,我们会注意到这样一个ueditor的访问请求,初步怀疑可能与UEditor编辑器漏洞有关。

记编辑器漏洞引发的应急处理

(4)漏洞复现

以 UEditor编辑器 文件上传漏洞作为关键字进行搜索,很快我们就在网络上找到了poc。接下来,我们来尝试进行漏洞复现。

A、本地构建一个html

记编辑器漏洞引发的应急处理

B、上传webshell

记编辑器漏洞引发的应急处理

C、登录服务器确认文件

记编辑器漏洞引发的应急处理

经漏洞复现,确认网站存在UEditor编辑器任意文件上传漏洞。

(5)溯源分析

通过日志分析,定位到了攻击者的IP地址,对这个IP相关文件的访问记录进行跟踪,可以还原攻击者行为。攻击者首先访问了网站首页,然后目录扫描找到UEditor编辑器路径,通过任意文件上传漏洞成功上传webshell。

03、事件处理

1、检查网站上传目录存在的可疑文件,清除Webshell。

2、通过分析复现确认编辑器存在任意文件上传,需及时进行代码修复。

本文始发于微信公众号(Bypass):记编辑器漏洞引发的应急处理

特别标注: 本站(CN-SEC.COM)所有文章仅供技术研究,若将其信息做其他用途,由用户承担全部法律及连带责任,本站不承担任何法律及连带责任,请遵守中华人民共和国安全法.
  • 我的微信
  • 微信扫一扫
  • weinxin
  • 我的微信公众号
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年9月14日07:42:31
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                  记编辑器漏洞引发的应急处理 http://cn-sec.com/archives/378188.html

发表评论

匿名网友 填写信息

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: