一起某户ezEIP漏洞导致的网页暗链事件
来了来了,这周的文章又来了,文章的时效性不高,因为很多都是很早之前处理的事件了,有空的时候就沉淀一些出来,给自己巩固复习一下。也不知道HW到底啥时候来,现在又听到说5月中开始,人已经麻了,我希望晚点,不然一HW,我必断更。
事件背景
客户收到了监管单位的红头文件,内容说你们主页存在暗链,赶紧给处理并将相关情况回个函过去,客户自己不清楚情况,报告内容不会整,于是电话摇人,我就这么开始了排查。
现场排查
首先,从通报文件中可以知道需要替换某度UA才会触发跳转,其实不只是某度,只要是搜索引擎和移动设备UA都会导致跳转暗链,我们先来复现一下跳转现象,浏览器,F12,启动!原谅我的厚码,不然我怕文章被举报直接没了,替换UA访问链接就可以跳转一个带有js标签的html页面,通过访问该static.js跳转暗链页面,其实从链接url的格式我大致就猜到是IIS的模块加载了恶意dll导致的劫持。
别问,问就是经验,不知道就先记着这url的格式,后面说不定你应急的时候就能验证一下,当然你要是没有这经验,也可以从排查webshell、排查网站配置文件和排查IIS的文件一步步过来,和客户确认确实是IIS发布的网站,那就直接看IIS加载了哪些模块
上面标红的就是异常的,你问我怎么看出来的,我只能说还是经验,你信吗?因为这个urlresol.dll我真没见过,这里我提供三个办法来给没经验的好兄弟确认,google、D盾和逆向。分析一下这个dll,果然就是劫持的元凶
那么这个dll是怎么来的呢?来看看落地时间,好家伙,时间被改了,真的是狗啊
那就只能走笨方法了,我们去看看IIS记录的网站访问日志,看看什么时候有访问特定url格式的跳转链接的(可以思考一下为什么要看这个,文章最后揭晓答案),可以发现从26号开始有恶意请求
重点排查26号前后的日志,发现在26号有大量请求hit.aspx接口的POST访问
查看hit.aspx接口文件,其中SQL语句传参并未过滤,正是古早味的写法啊,朴实无华,实锤存在SQL注入漏洞
Google了一下,发现是某户ezEIP 4.0SQL注入漏洞,这路径就清晰了,将IIS加载的恶意dll卸载,网站恢复正常,最后再修复一下漏洞就可以写报告了。
最后再留一个思考问题给大家,如何通过一个SQL注入在IIS里面植入恶意dll,知道的可以评论区留言。
P.S.
答案:一般黑灰产团伙在做了劫持之后会主动测试一下暗链是否正常跳转,类似于大家上传webshell之后总是会习惯性的先get一下看看落地成功没有
原文始发于微信公众号(草蛇灰线马迹蛛丝):一起某户ezEIP漏洞导致的网页暗链事件
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论