一起某户ezEIP漏洞导致的网页暗链事件

一起某户ezEIP漏洞导致的网页暗链事件

    来了来了，这周的文章又来了，文章的时效性不高，因为很多都是很早之前处理的事件了，有空的时候就沉淀一些出来，给自己巩固复习一下。也不知道HW到底啥时候来，现在又听到说5月中开始，人已经麻了，我希望晚点，不然一HW，我必断更。

事件背景

    客户收到了监管单位的红头文件，内容说你们主页存在暗链，赶紧给处理并将相关情况回个函过去，客户自己不清楚情况，报告内容不会整，于是电话摇人，我就这么开始了排查。

现场排查

    首先，从通报文件中可以知道需要替换某度UA才会触发跳转，其实不只是某度，只要是搜索引擎和移动设备UA都会导致跳转暗链，我们先来复现一下跳转现象，浏览器，F12，启动！原谅我的厚码，不然我怕文章被举报直接没了，替换UA访问链接就可以跳转一个带有js标签的html页面，通过访问该static.js跳转暗链页面，其实从链接url的格式我大致就猜到是IIS的模块加载了恶意dll导致的劫持。

    别问，问就是经验，不知道就先记着这url的格式，后面说不定你应急的时候就能验证一下，当然你要是没有这经验，也可以从排查webshell、排查网站配置文件和排查IIS的文件一步步过来，和客户确认确实是IIS发布的网站，那就直接看IIS加载了哪些模块

    上面标红的就是异常的，你问我怎么看出来的，我只能说还是经验，你信吗？因为这个urlresol.dll我真没见过，这里我提供三个办法来给没经验的好兄弟确认，google、D盾和逆向。分析一下这个dll，果然就是劫持的元凶

    那么这个dll是怎么来的呢？来看看落地时间，好家伙，时间被改了，真的是狗啊

    那就只能走笨方法了，我们去看看IIS记录的网站访问日志，看看什么时候有访问特定url格式的跳转链接的（可以思考一下为什么要看这个，文章最后揭晓答案），可以发现从26号开始有恶意请求

    重点排查26号前后的日志，发现在26号有大量请求hit.aspx接口的POST访问

    查看hit.aspx接口文件，其中SQL语句传参并未过滤，正是古早味的写法啊，朴实无华，实锤存在SQL注入漏洞

    Google了一下，发现是某户ezEIP 4.0SQL注入漏洞，这路径就清晰了，将IIS加载的恶意dll卸载，网站恢复正常，最后再修复一下漏洞就可以写报告了。

    最后再留一个思考问题给大家，如何通过一个SQL注入在IIS里面植入恶意dll，知道的可以评论区留言。

P.S.

答案：一般黑灰产团伙在做了劫持之后会主动测试一下暗链是否正常跳转，类似于大家上传webshell之后总是会习惯性的先get一下看看落地成功没有

原文始发于微信公众号（草蛇灰线马迹蛛丝）：一起某户ezEIP漏洞导致的网页暗链事件