ThinkPHP 的老漏洞仍然被攻击者钟情

2024-06-17 14:04

本文主要是介绍ThinkPHP 的老漏洞仍然被攻击者钟情,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

研究人员发现安全领域出现了令人不安的趋势:攻击者不仅对新披露的漏洞十分感兴趣,对已知的漏洞也丝毫不放过,尽管有些漏洞已经存在了好些年头,攻击者仍然能够通过老漏洞成功完成攻击。

典型的例子就是 ThinkPHP 远程代码执行漏洞 CVE-2018-20062 和 CVE-2019-9082,距今已有六年的时间了,攻击者仍然在使用这些漏洞进行攻击。

研究人员最早在 2023 年 10 月 17 日首次检测到此类攻击,与传统意义上的 POC 不同,攻击者会从控制的 C&C 服务器下载经过混淆的 Shell 脚本。虽然仅仅持续了几天小范围的攻击就销声匿迹,但 2024 年 4 月攻击死灰复燃且规模比之前大得多。

ThinkPHP

ThinkPHP 是中文社区开源的 Web 应用框架,主要用于开发基于 PHP 的 Web 应用。该框架提供了一组库、组件和工具,通过 MVC 架构简化 Web 应用的构建过程。

CVE-2018-20062 与 CVE-2019-9082 是在 ThinkPHP 旧版本中发现的漏洞,不仅是影响 ThinkPHP 还有基于 ThinkPHP 二次开发的 CMS,如 NoneCMS 与 open-source BMS。这两个漏洞都可以让攻击者可以在失陷主机上远程执行代码,从 2018 年被披露已经长达六年。

在野攻击

研究人员发现中国境内的失陷主机在尝试下载名为 public.txt 的文件,恶意文件将以 roeter.php 为名保存在是失陷主机中。从名称上来看,应该是 router 单词拼写错了。

1717742907_6662ad3be6e9ef41436ff.png!small?1717742908269

在野攻击

下载的文件包含一个经过混淆的 WebShell 脚本,该脚本使用 ROT13 算法进行混淆。尽管攻击者通过很长的十六进制字符串进行混淆,但却选择了非常简单的密码(admin)作为 WebShell 的密码。

1717742935_6662ad573eb1bfa52db6a.png!small?1717742935939

混淆的 WebShell

攻击从 Zenlayer 云提供商(ASN 21859)的 IP 地址发起,这些服务器主要位于中国香港。分析人员对部署后门的服务器进行了检查,发现该服务器也感染了相同的 WebShell。

1717742963_6662ad734508babacfbc7.png!small?1717742963448

失陷主机被用作分发服务器

这表明该服务器很可能是攻击基础设施中的一个节点,攻击者通过这种方式来降低运营成本。并且这样也可以让执法部门更难以关停服务器,运营商不会轻易关闭有合法服务的服务器。

Dama WebShell

该 WebShell 具备浏览文件系统、修改文件时间戳等高级功能,攻击者借此实现混淆的功能。东欧和西欧的网络犯罪分子经常使用英文 WebShell(如 WSO-GN WebShell),但 Dama WebShell 的界面语言是繁体中文。

1717743007_6662ad9fa8ccf0bcc8d79.png!small?1717743008979

用户界面

该 WebShell 可以将文件上传到服务器来收集核心的系统数据,如操作系统版本与 PHP 信息,这可以帮助攻击者实施提权漏洞攻击。

1717743037_6662adbd848f742c430fb.png!small?1717743037892

与数据库进行交互

攻击者会利用包括端口扫描等功能对数据库和服务器上的数据进行访问。Dama WebShell 还提供了多种提权方法,如绕过已被禁用的敏感 PHP 函数进行沙盒逃逸最终执行 Shell 命令。

Dama WebShell 还可以利用 Windows 任务调度功能配置 WMI 添加高权限用户。尽管配备了用于直接解释执行代码的 PHP 解释器,但 Dama WebShell 并不支持通过命令行执行系统命令。

总结

尽管攻击者已经了解这些漏洞很久很久,但仍然在继续使用并且能够攻击成功。这凸显了组织在识别易受攻击资产和升级补丁管理上,持续面临巨大挑战。

研究人员发现并非所有的受害者都使用了 ThinkPHP,攻击者可能不加区分进行了广泛的攻击。攻击者一方面对恶意脚本进行了混淆处理,另一方面也有很低级技术的表现,这二者十分割裂。当然,攻击技术先进并不代表着背后的攻击者也很熟练。

参考来源

Akamai

这篇关于ThinkPHP 的老漏洞仍然被攻击者钟情的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1069645

相关文章

【CTF Web】BUUCTF Upload-Labs-Linux Pass-13 Writeup(文件上传+PHP+文件包含漏洞+PNG图片马)

Upload-Labs-Linux 1 点击部署靶机。 简介 upload-labs是一个使用php语言编写的,专门收集渗透测试和CTF中遇到的各种上传漏洞的靶场。旨在帮助大家对上传漏洞有一个全面的了解。目前一共20关,每一关都包含着不同上传方式。 注意 1.每一关没有固定的通关方法,大家不要自限思维! 2.本项目提供的writeup只是起一个参考作用,希望大家可以分享出自己的通关思路

Java反序列化漏洞-TemplatesImpl利用链分析

文章目录 一、前言二、正文1. 寻找利用链2. 构造POC2.1 生成字节码2.2 加载字节码1)getTransletInstance2)defineTransletClasses 2.3 创建实例 3. 完整POC 三、参考文章 一、前言 java.lang.ClassLoader#defineClass defineClass可以加载字节码,但由于defineClas

【vulhub】thinkphp5 2-rce 5.0.23-rce 5-rce 漏洞复现

2-rec 1.启动环境  cd /.../vulhub/thinkphp/2-rce # cd进入2-rce靶场文件环境下docker-compose up -d # docker-compose启动靶场docker ps -a # 查看开启的靶场信息 2.访问192.168.146.136:8080网页 3.构造payload http

【漏洞复现】赛蓝企业管理系统 GetJSFile 任意文件读取漏洞

免责声明:         本文内容旨在提供有关特定漏洞或安全漏洞的信息,以帮助用户更好地了解可能存在的风险。公布此类信息的目的在于促进网络安全意识和技术进步,并非出于任何恶意目的。阅读者应该明白,在利用本文提到的漏洞信息或进行相关测试时,可能会违反某些法律法规或服务协议。同时,未经授权地访问系统、网络或应用程序可能导致法律责任或其他严重后果。作者不对读者基于本文内容而产生的任何行为或后果承担

【网络安全】Jenkins任意文件读取漏洞及检测工具(CVE-2024-23897)

原创文章,不得转载。 文章目录 漏洞成因影响范围检测工具更多细节 漏洞成因 Jenkins CLI 接口存在任意文件读取漏洞(CVE-2024-23897)。该问题源于 args4j 库在解析文件名参数时,会将@符号后的字符串视为文件名并尝试读取文件,而且该功能默认处于启用状态。 影响范围 Jenkins weekly <= 2.441 Jenkins LTS <=

MyBatis-Plus 框架 QueryWrapper UpdateWrapper 方法修复sql注入漏洞事件

什么是漏洞? 漏洞是指软件、系统或网络中存在的安全弱点或错误,这些弱点可能导致系统遭受攻击或被不当使用。在计算机安全领域,漏洞通常源于编程错误、设计缺陷或配置失误。 对于对象关系映射(ORM)框架来说,漏洞通常指的是设计或实施中的安全问题,这些问题可能让应用程序面临SQL注入攻击的风险。 SQL 注入漏洞 如果ORM框架在执行SQL操作时没有正确过滤或转义用户输入,攻击者可以利用输入的恶意数据

XSS 漏洞检测与利用全解析:守护网络安全的关键洞察

在网络安全领域,跨站脚本攻击(XSS)是一种常见的安全漏洞。XSS 漏洞可以让攻击者在受害者的浏览器中执行恶意脚本,从而窃取用户的敏感信息、篡改页面内容或者进行其他恶意操作。本文将介绍 XSS 漏洞的检测和利用方法。 一、XSS 漏洞的概念和类型 (一)概念 跨站脚本攻击(XSS)是指攻击者在网页中注入恶意脚本,当用户访问该网页时,恶意脚本在用户的浏览器中执行,从而达到攻击的目的。 (

代码执行漏洞-Log4j2漏洞

1.执行以下命令启动靶场环境并在浏览器访问 cd log4j/CVE-2021-44228docker-compose up -ddocker ps 2.先在自己搭建的DNSLOG平台上获取⼀个域名来监控我们注⼊的效果 3.可以发现 /solr/admin/cores?action= 这⾥有个参数可以传,可以按照上⾯的原理 先构造⼀个请求传过去存在JNDI注⼊那么ldap服务端会执⾏

用友UFIDA NC portal/pt/file/upload接口存在任意文件上传漏洞 附POC

@[toc] 用友UFIDA NC portal/pt/file/upload接口存在任意文件上传漏洞 附POC 免责声明:请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息或者工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,所产生的一切不良后果与文章作者无关。该文章仅供学习用途使用。 1. 用友UFIDA NC 简介 微信公众号搜索:南风漏洞复现文库 该文

【漏洞复现】锐捷 校园网自助服务系统 login_judge.jsf 任意文件读取漏洞

免责声明:         本文内容旨在提供有关特定漏洞或安全漏洞的信息,以帮助用户更好地了解可能存在的风险。公布此类信息的目的在于促进网络安全意识和技术进步,并非出于任何恶意目的。阅读者应该明白,在利用本文提到的漏洞信息或进行相关测试时,可能会违反某些法律法规或服务协议。同时,未经授权地访问系统、网络或应用程序可能导致法律责任或其他严重后果。作者不对读者基于本文内容而产生的任何行为或后果承担