Bei der Beschreibung des Szenarios wird davon ausgegangen, dass in einer realen Produktionsumgebung eine RCE-Schwachstelle vorliegt, die es uns erm?glicht, die Installation der WebShell-Umgebung zu erhalten. Bevor wir das anf?llige Image auf GetHub abrufen, müssen wir zun?chst Nginx und Tomcat auf Centos installieren Konfigurieren Sie die Konfigurationsdatei von Nginx und Tomcat, laden Sie das Image mit Docker herunter und reproduzieren Sie die Sicherheitslücke. 1. Richten Sie zuerst die Docker-Umgebung ein. 2. Testen Sie, ob auf Tomcat zugegriffen werden kann. 3. überprüfen Sie den Lastausgleich von Nginx Reverse Proxy. überprüfen Sie die Ameise in lbsnode1 im Docker-.jsp-Text

1. Nach dem ?ffnen der URL wurde festgestellt, dass es sich um eine Upload-Seite handelte. 2. Die Datei mit dem Suffix php wurde direkt hochgeladen, es wurde jedoch festgestellt, dass sie nicht hochgeladen werden konnte. 3. Verwenden Sie BurpSuite, um das Paket zu erfassen und das Suffix zu ?ndern der hochgeladenen Datei mit dem Suffix php zu php5, um sie zu umgehen. Im Verzeichnis var/www/html wird eine Datei mit KEY5 gefunden eine andere URL, die auch eine Upload-Seite ist, aber die Upload-Liste ist nur auf das Hochladen von Dateien mit dem Suffix .gif.jpg.png eingestellt. 6. Wir schreiben einen TXT-Trojaner mit einem Satz und ?ndern sein Suffix in jpg7. Verwenden Sie beim Hochladen BurpSiuit, um das Paket zu erfassen und das anzuzeigende Dateisuffix zu ?ndern

SINE Security führte eine Website-Schwachstellenerkennung und -behebung auf der Website eines Kunden durch und stellte fest, dass die Website schwerwiegende SQL-Injection-Schwachstellen und Schwachstellen in hochgeladenen Webshell-Website-Trojanern aufwies. Die Website verwendete ein CMS-System, das mit der PHP-Sprache und der MySQL-Datenbankarchitektur entwickelt wurde Der Quellcode dieser Website ist derzeit Open Source. Ein bestimmtes CMS ist ein soziales CMS-System, das sich auf die Bereitstellung von kostenpflichtigem Wissen konzentriert. Dieses System kann Dokumente teilen und gegen eine Gebühr herunterladen. Die von Benutzern ver?ffentlichten Wissensinhalte k?nnen ausgeblendet und bereitgestellt werden an zahlende Kunden lesen. Der Code ist relativ schlank und gef?llt den meisten Webmastern. Die Schwachstelle dieser Website tritt haupts?chlich beim Hochladen des komprimierten Pakets und beim Erstellen b?swilligen Dekomprimierungscodes auf, der auf das w im ZIP-Paket verweist.

Was ist WebShell? Anfangs wurde Webshell h?ufig als Abkürzung für einen Skripttyp verwendet, mit dem Webserveradministratoren den Server aus der Ferne verwalten. Sp?ter, mit der Einführung einiger Webshell-Verwaltungstools, wurde der Prozess zum Erhalten von Webberechtigungen erheblich vereinfacht, sodass er nach und nach als Web-Intrusion-Tool-Skript bezeichnet wurde. Webshell unterscheidet sich von Schwachstellen, nutzt jedoch Anwendungsschwachstellen oder Serverschwachstellen (Schwachstellen beim Hochladen von Dateien, Schwachstellen bei der Dateieinbindung usw.), um Skriptdateien zur sp?teren Ausnutzung auf den Server hochzuladen. Es geh?rt zur anschlie?enden Ausnutzung von Penetrationstests und der Ausführung (Ausführung). ) Phase von ATT&CK. Abbildung 1TA0002 Referenzquelle: https

Da Fragen der Internetsicherheit immer wichtiger werden, ist die Sicherheit wichtiger Websites und Anwendungen zu einem immer wichtigeren Thema geworden. Insbesondere im Website-Betrieb und Wartungsmanagement werden h?ufig Tools wie WebShell für Wartung und Reparatur ben?tigt. WebShell wird jedoch auch h?ufig von Hackern verwendet und wird zum Einstiegspunkt für Angreifer. In diesem Artikel werden die WebShell-Sicherheitseinstellungen des Pagoda-Panels vorgestellt, um Website-Administratoren dabei zu helfen, die Sicherheit der Website zu verbessern. 1. Das Konzept und die allgemeine Verwendung von WebShell 1. Konzept WebShell ist

Dieser Artikel stellt Ihnen die Webshell des Empire CMS-Frameworks vor. Es hat einen gewissen Referenzwert. Freunde in Not k?nnen sich darauf beziehen. Ich hoffe, es wird für alle hilfreich sein.

Zun?chst einmal verstehe ich, dass ich nicht herausfinden muss, wo der hochgeladene Speicherort angezeigt wird. Ich sollte mich beim Server anmelden, um eine WebShel-Inspektion durchzuführen und festzustellen, ob er von anderen angegriffen wurde eine Hintertür usw. usw. Obwohl es sich bei der gemeldeten IP-Adresse um die IP-Adresse unseres Unternehmens handelt, was k?nnen wir tun, wenn der Server angegriffen wird, wenn einige Webshells übersehen und von anderen erfolgreich hochgeladen, aber nicht erkannt werden? Also ging ich hoch, um den Server zu inspizieren, lud dieses Webshell-Kill-Tool zum T?ten hoch, benutzte netstat-anpt und iptables-L, um festzustellen, ob eine Hintertür eingerichtet war, überprüfte, ob ein Mining-Programm die CPU belegte usw., das werde ich tun Gehen Sie hier nicht auf Details ein. Glücklicherweise wurde der Server nicht kompromittiert, und dann

Einrichten der lokalen Umgebung Den gespeicherten Screenshots nach zu urteilen, ist die PHP-Version der anderen Partei 5.6.40, daher m?chte ich eine Testumgebung von Apache+php5.6.40 einrichten. ?ffnen Sie Virtualbox, kopieren Sie den Link zum Centos-Image-System und konfigurieren Sie ihn gem?? dem folgenden Prozess. 1.Installieren Sie apacheyuminstall-yhttpdhttpd-vServerversion:Apache/2.4.6(CentOS)Serverbuilt:Aug8201911:41:182.Installieren Sie php5.6yum-yinstallepel-releaserpm-Uvhhttps://mi