日本综合一区二区|亚洲中文天堂综合|日韩欧美自拍一区|男女精品天堂一区|欧美自拍第6页亚洲成人精品一区|亚洲黄色天堂一区二区成人|超碰91偷拍第一页|日韩av夜夜嗨中文字幕|久久蜜综合视频官网|精美人妻一区二区三区

本文轉(zhuǎn)載自微信公眾號(hào)「Bypass」，作者Bypass。轉(zhuǎn)載本文請(qǐng)聯(lián)系Bypass公眾號(hào)。

作為一個(gè)網(wǎng)站管理員，你沒(méi)發(fā)現(xiàn)的漏洞，你的對(duì)手卻幫你找到了，并在你的網(wǎng)站里留下了Webshell。這個(gè)時(shí)候?qū)咕烷_(kāi)始了，找出漏洞根源，捕獲攻擊者，贏下這場(chǎng)對(duì)抗，這個(gè)過(guò)程本身就挺有意思的。

1. 事件起因

接到云安全中心安全預(yù)警，發(fā)現(xiàn)后門(Webshell)文件，申請(qǐng)服務(wù)器臨時(shí)管理權(quán)限，登錄服務(wù)器進(jìn)行排查。

2. 事件分析

(1) 確認(rèn)Webshell

進(jìn)入網(wǎng)站目錄，找到木馬文件路徑，確認(rèn)為Webshell。應(yīng)急處理：通過(guò)禁止動(dòng)態(tài)腳本在上傳目錄的運(yùn)行權(quán)限，使webshell無(wú)法成功執(zhí)行。

(2) 定位后門文件上傳時(shí)間

根據(jù)Webshell文件創(chuàng)建時(shí)間，2020年3月9日 15:08:34 。

(3) Web訪問(wèn)日志分析

PS：由于，IIS日志時(shí)間與系統(tǒng)時(shí)間相差8小時(shí)，系統(tǒng)時(shí)間是15:08，這里我們需要查看的是 7:08的日志時(shí)間。

找到對(duì)應(yīng)的Web訪問(wèn)日志，在文件創(chuàng)建時(shí)間間隔里，我們會(huì)注意到這樣一個(gè)ueditor的訪問(wèn)請(qǐng)求，初步懷疑可能與UEditor編輯器漏洞有關(guān)。

(4) 漏洞復(fù)現(xiàn)

以 UEditor編輯器 文件上傳漏洞作為關(guān)鍵字進(jìn)行搜索，很快我們就在網(wǎng)絡(luò)上找到了poc。接下來(lái)，我們來(lái)嘗試進(jìn)行漏洞復(fù)現(xiàn)。

A、本地構(gòu)建一個(gè)html

B、上傳webshell

C、登錄服務(wù)器確認(rèn)文件

經(jīng)漏洞復(fù)現(xiàn)，確認(rèn)網(wǎng)站存在UEditor編輯器任意文件上傳漏洞。

(5) 溯源分析

通過(guò)日志分析，定位到了攻擊者的IP地址，對(duì)這個(gè)IP相關(guān)文件的訪問(wèn)記錄進(jìn)行跟蹤，可以還原攻擊者行為。攻擊者首先訪問(wèn)了網(wǎng)站首頁(yè)，然后目錄掃描找到UEditor編輯器路徑，通過(guò)任意文件上傳漏洞成功上傳webshell。

3. 事件處理

• 檢查網(wǎng)站上傳目錄存在的可疑文件，清除Webshell。
• 通過(guò)分析復(fù)現(xiàn)確認(rèn)編輯器存在任意文件上傳，需及時(shí)進(jìn)行代碼修復(fù)。

文章題目：記編輯器漏洞引發(fā)的應(yīng)急處理
網(wǎng)站路徑：http://www.dlmjj.cn/article/cocpihg.html