猜测攻击过程
攻击者(IP: 202.95.14.64 )从2022-09-02 11:07:14开始暴力破解账号密码尝试登录phpsso_server后台,经过50次就破解了密码(该密码在初始化安装系统时虽然修改了密码,但采用的是简单易破解密码),在11:11:52登陆了php_server后台。然后利用phpsso_server Ucenter api地址中存在的漏洞getshell。
这次黑客攻击后进行的操作还有:
- mysql创建数据表temp_udf表中数据为二进制,在mysql数据库创建数据表func,目的为了运行moonudf.dll,提权用户权限(利用MySQL的udf提权方法)
- 上传Usine.asp文件,并不断访问该文件,将访问地址跳转到攻击者指定的网站
- 创建木马文件C:\aegis_client\beacon.log (360查杀报Trojan.Win64.Cobalt.A)和C:\Windows\Temp\95315964.tmp(360查杀报Win32/Trojian.Generic.Hw4AGzEA),tmp文件还创建了木马进程95315964.tmp
登陆phpsso_server后台,通过Ucenter api地址中存在漏洞getWebShell
登陆phpsso_server后台,点击【系统设置】–>【UCenter配置】,打开浏览器的开发者工具(或者按F12快捷键打开),查看元素界面,找到Ucenter api地址输入框,将该元素html更改为 <input type="text" class="input-text" name="data[uc_api','test');'\]" id="uc_api" value=";eval($_POST[g]);//"> , 如下图:
提交数据即可获取webshell,shell一句话后门密码为g,shell地址为:http://yourweb.com/phpsso_server/caches/configs/uc_config.php
如何预防和解决
- 网站后台密码一定要设置复杂些,一旦后台密码被破解,基本上相当于给黑客打开了大门。phpcms一定要记得更改phpsso_server后台密码。
- 修复该漏洞,增加输入内容检测过滤。
- 尤其是对于这种开源的系统,尽量去掉不必要的功能。比如我们不需要phpsso,就可以将该模块删除,减轻系统的维护压力,同时减少暴露的漏洞。
- 做好网站安全防护和服务器安全防护,及时更新系统补丁;这样可以尽可能减少损失,避免因一个缺口导致丢失整个服务器。
- 采取最小权限策略,比如我们这里mysql直接采用的是root账户,导致黑客利用此进行udf提权获取管理员账户。如果我们没有暴露root账户密码,同时又限制cms网站使用账号的权限(没有create function权限),这时黑客想通过mysql提权就困难了。
Webshell的权限取决于运行Web服务的账户权限,黑客如果想要获得高级权限,往往都需要提权,当我们对服务器不同角色权限设置到位时,服务器安全就多一层保障,不至于因一个漏洞就彻底丢失服务器权限。
福利来了 — PHPCMS V9最新版持续更新、提供免费下载
由于PHPCMS官方已经不再更新,为了能更好的继续使用PHPCMS,我在Github上持续更新PHPCMS,不仅仅修复了目前存在的漏洞,还增加支持https,PHP7等功能,还提供完整版免费下载。仅限个人学习使用,请勿用于商业用途,如需商业使用,请联系获得授权。点击查看phpcms v9版本介绍持续更新中 – 支持https 支持PHP7,提供完整版免费下载
phpcms v9 Github仓库地址:https://github.com/Abel-Lan/phpcms
phpcms v9 最新版本下载地址:https://github.com/Abel-Lan/phpcms/releases
扩展知识 MySQL的udf提权
转载请注明:半亩方塘 » phpcms后台漏洞是如何导致服务器一步步完全破防的 | phpcms ucenter api getshell)
支付宝扫码打赏
微信扫码打赏赏 
