unofficial 专注于学习分享的www.unofficial.cn

haishi

　　如果网站突然弹出一个广告（不是自己主动添加的联盟广告），第一直觉是DNS劫持，在此之前也是唯一直觉。之前遇到过几次DNS劫持，WAP站弹出广告，路由器被劫持弹出广告。未经历其它安全事件之前，我也只是偶尔关注一下安全事件，上一次重大修复还是去年，这一次问题也比较严重，可以说是很严重。
　　


寻找漏洞
　　年前快放假了，有同事反馈展示库弹出广告，分析没有发现劫持现象。抓包调试发现全部js文件被篡改了，篡改还是以编码的形式，执行时解码。看来这次遇到比较厉害的角儿了。但是它是如何篡改js文件的呢？

• 服务器异常　　
  服务器安全软件全部是异常的，难道是服务器被黑了，直接拿到权限到服务器去执行了脚本程序，检查了login日志也没有发现异常，看来还是要另寻问题分析。一系列安全查杀开始运行一圈。
  　　
  
  
  
• http服务器日志异常　　
  日志对于问题分析很关键，但有一种情况就是未出问题之前没有服务器日志，也或者说攻击者删除了服务器日志，要怎么办呢？如果真的是这样，我也就只能呵呵了，事实也就是这样，呵呵哒！
  　　
  对于发现的网站，手动修改了被篡改的js文件，表面上解决问题了，但事实是转眼又被篡改了。
  　　
  明天就放假了，今天还在这里查找漏洞，情何以堪。一时不能分析日志，能做的就是重新设置开启服务器日志，关闭上传功能，目录权限只读。先暂时处理问题，过完年再回来彻查问题。其实问题根本没有解决，如果木马脚本已经上传到服务器了呢？问题也依然没能解决，如果关键词查询一下就可以找到相关脚本文件了。
  　　
  
  
  
• 年后问题依旧存在　　
  网站js文件全部被篡改了，包括未使用的文件也被篡改了。一边写脚本批量替换掉被修改的文件，一边关键词查询木马文件。nodejs写了一个简单的批量替换脚本，木马脚本文件也找到了，通过上传漏洞上传了一个生成一句话木马的文件，一句话木马文件就想干嘛干嘛了，其中还生成了一个大马，一个服务器文件管理后台，看到这个大马脚本，一下觉得自己接触的内容太寒掺了。
  　　
  能找到文件但是还找不到上传漏洞，问题依旧是问题，同时线上客户网站也发现了同样的问题，线上服务器日志存在。向IDC索要了服务器日志文件，分析时发现了一个1.php，aboutus.php文件，以及上传漏洞位置。
  
  

分析漏洞
　　程序使用的是phpcms深度二次开发得到的，自然而然phpcms的问题依旧是我们的问题，对于phpcms的版本不断升级，发现的安全问题也在不断完善修复，我们的程序没有及时关注漏洞更新也就导致了这起问题的发生（漏洞修复期间依旧后期，我尝试了一些其他线上网站，原来没有就是安装补丁的不止少数）。

头像上传漏洞
　　通过api接口查看到key，拿到key以后再按照本地生成data的方法，手动生成data数据，拼接url避开验证获取上传路径，通过上传漏洞直接上传脚本文件至头像目录（上传是用的swfObject，flash生成大小不一的尺寸，然后压缩上传，后台程序解包至指定文件夹就完事了，没有过滤非法文件以及文件夹），使用burp抓取请求，替换请求数据（数据中包含脚本）。
　　
get authkey
　　

/api.php?op=get_menu&act=ajax_getlist&callback=aaaaa&parentid=0&key=authkey&cachefile=../../../phpsso_server/caches/caches_admin/caches_data/applist&path=admin　　

　　upload url
　　

/phpcms/phpsso_server/index.php?m=phpsso&c=index&a=uploadavatar&auth_data=v=1&appid=1&data=6550BQMJAVJRCAMFBlNUVFIHC1JVCAIMVgAOB1FFCFILBkRFQGZQFxVQbF5TGAsBQQgKUQRId1YVClBTJ15YYQFwUnpjalYXI11DZHkGAQ　　

　　burp拦截修改http请求
　　

　　
修改请求主体内容为自己需要提交的脚本内容
　　脚本执行
　　
这里可以直接上传脚本，也可以上传一个生成一句话脚本的文件（想怎么做你自己看着办，不做违法的事情）

更多隐藏漏洞
　　一个开源编辑器，没有使用，没有修改默认配置，于是乎也是一个潜在危害，对于程序中不断引入越来越多的模块，安全性真的值得考虑。

分析末尾
　　没有深入总结问题，主要细节包含批量替换脚本的制作。本地展示库使用nodejs处理zip包相关node-archiver，php脚本相关的是类ZipArchive，但最后还是使用c#弄了个exe。暂时告一段落，也只想呵呵了。

参考资料
　　node-archiver
　　
ZipArchive
　　
wooyun