利用Think远程代码执行漏洞进行脱库上传免杀木马情报
1 详细说明近日我捕获到一个利用Think远程代码执行漏洞进行脱库上传免杀木马的最新样本。样本文件名为http://acedgwf.cn/01/js.css(伪装加密后的php文件),直接打开后展示“js.css”(php语言加密代码)。如下图所示:
如果看不清在图片上右键在新标签页打开图片
2 情报来源
经由地址http://acedgwf.cn/01/js.css 捕获远控木马样本
3 样本分析
我将从以下四个步骤来进行情报提交:捕获样本情报→ 分析解密后门文件代码→分析域名资产和&漏洞影响→漏洞来源&修复建议
① 首先对以上代码单独解密后得出以下html前台远控登录代码,如下
<title>请勿使用非法用途</title>
<meta http-equiv="content-type" content="text/html;charset=gb2312">
<style type="text/css">
.form-control {
display: block;
width: 100%;
height: 38px;
padding: 8px 12px;
font-size: 14px;
line-height: 1.428571429;
color: #555;
vertical-align: middle;
background-color: #fff;
border: 1px solid #ccc;
border-radius: 4px;
-webkit-box-shadow: inset 0 1px 1px rgba(0,0,0,0.075);
box-shadow: inset 0 1px 1px rgba(0,0,0,0.075);
-webkit-transition: border-color ease-in-out .15s,box-shadow ease-in-out .15s;
transition: border-color ease-in-out .15s,box-shadow ease-in-out .15s
}
.btn {
display: inline-block;
padding: 8px 12px;
margin-bottom: 0;
font-size: 14px;
font-weight: 500;
line-height: 1.428571429;
text-align: center;
white-space: nowrap;
vertical-align: middle;
cursor: pointer;
border: 1px solid transparent;
border-radius: 4px;
-webkit-user-select: none;
-moz-user-select: none;
-ms-user-select: none;
-o-user-select: none;
user-select: none
}
.btn-primary {
color: #fff;
background-color: #428bca;
border-color: #428bca
}
</style>
<center>
<br><br>
<font size="3" face="Microsoft YaHei">
过安全狗、云锁、阿里云、360、护卫神、D盾、百度云、各种杀软!</font>
<br><br>
<form method="POST">
<input style="Width:125pt;display:inline-block;font-family:Microsoft YaHeifont-size:90%" class="form-control" placeholder="@Passwrd" type="password" name="getpwd">
<input style="Width:55pt;font-size:90%;font-family:Microsoft YaHei" class="btn btn-primary" type="submit" value="#Login"></form></center></body></html>
登陆代码运行图如下:注:单独运行此html无可交互功能② 经深度混淆解密后得到该木马后门远控代码如下: ▲警告:代码量过大,为方便预览,只截取深度解密后的部分代码,具体请见附件内样本 如下图:③ 域名资产分析
[*]域名:http://acedgwf.cn
[*]当前解析ip:中国 香港 Cloudinnovation 154.196.38.30
[*]无备案
[*]无子域名
whois信息:
Domain Name: acedgwf.cn
ROID: 20191121s10001s19347192-cn
Domain Status: ok
Registrant ID: 22cn191114yi6z3q
Registrant: 王艺杰
Registrant Contact Email: jinganghuluwa6666@gmail.com
Sponsoring Registrar: 杭州电商互联科技有限公司(原杭州创业互联科技有限公司)
Name Server: ns6.dnsdun.net
Name Server: ns6.dnsdun.com
Registration Time: 2019-11-21 17:58:27
Expiration Time: 2020-11-21 17:58:27
DNSSEC: unsigned
由此可得,该域名为 [王艺杰]在杭州电商互联科技有限公司旗下的 所购买的域名;
再由该dns解析可得,此域名的dns服务商为: 配置的dns服务;
Email为: jinganghuluwa6666@gmail.com;
至于此域名解析在哪个服务器,个人猜测[不确定]应属于此人在GitHub pages搭建,后期为了防止其Git仓库曝光又将自定义域名转至 ,该域名和服务器为暂存地 或 该服务器为 远控木马前台登录地[被隐藏] ,本人水平有限,暂无法判断此木马病毒是已经接管 http://acedgwf.cn 名下的服务器,还是这本身就是一个试验场或者病毒后门控制器所在地。
威胁情报ioc:
平台检测工具:微步在线云沙箱https://s.threatbook.cn/
文件 SHA256: 9217edfca3fd1179cb75af2ff6c547ca7b980caa3726a5ebce131071f73b47da
恶意行为特征: 将可读可写的内存属性改为可读可执行
具体详见:https://s.threatbook.cn/report/file/9217edfca3fd1179cb75af2ff6c547ca7b980caa3726a5ebce131071f73b47da/?sign=history&env=win7_sp1_enx86_office2013
④ 漏洞来源
其实这是一个比较旧的病毒木马,利用了Thinkphp5.0.0~5.0.23版本远程进行代码调用的漏洞进行的getshell,通过PHP文件后门调取受害者服务器系统设置,进行脱库删库SQL数据库文件导出,篡改注册表等等一系列操作。
修复建议
如果不能更新到最新版本,需要参考最新版本的Request类的method方法进行手动修复,如下:打开/thinkphp/library/think/Request.php文件,找到method方法(约496行),修改下面代码:$this->method = strtoupper($_POST[Config::get('var_method')]);$this->{$this->method}($_POST);改为:$method = strtoupper($_POST[Config::get('var_method')]);if (in_array($method, ['GET', 'POST', 'DELETE', 'PUT', 'PATCH'])) { $this->method = $method; $this->{$this->method}($_POST);} else { $this->method = 'POST';}unset($_POST[Config::get('var_method')]);
本段代码取自互联网,或与最新版有出入,请参考官方版本6.0对应代码 http://www.thinkphp.cn/
样本附件: 大小:43kb,密码默认。
友情提示:本贴做分析交流用,帖子模板参考自[微步论坛],由于本人水平有限导致本帖或有语言表达不清楚,代码分析不明朗之处,欢迎各路神仙指正评论点赞。
JavaSB 发表于 2020-6-12 15:50
一个php大马而已
是呀就是大马啊,没说不是啊,就是因为很多人觉得无所谓不必要管,所以才导致木马泛滥不就这样吗 axguowen 发表于 2020-6-11 19:59
厉害了·····原来thinkphp也有这么严重的漏洞
? thinkphp不一直都有吗? 厉害了·····原来thinkphp也有这么严重的漏洞 大佬。来个6.0 的0day 原来是php的漏洞 来学习一下。。 {:1_926:}怎么利用 没看懂你在说什么。 一个php大马而已