利用Think远程代码执行漏洞进行脱库上传免杀木马情报

云鬼 · 发表于 2020-6-11 15:50

1 详细说明

近日我捕获到一个利用Think远程代码执行漏洞进行脱库上传免杀木马的最新样本。样本文件名为http://acedgwf.cn/01/js.css（伪装加密后的php文件），直接打开后展示“js.css”（php语言加密代码）。如下图所示：

如果看不清在图片上右键在新标签页打开图片

2 情报来源

经由地址http://acedgwf.cn/01/js.css 捕获远控木马样本

3 样本分析

我将从以下四个步骤来进行情报提交：捕获样本情报→ 分析解密后门文件代码→分析域名资产和&漏洞影响→漏洞来源&修复建议

① 首先对以上代码单独解密后得出以下html前台远控登录代码，如下

[HTML] 纯文本查看 复制代码

01

02

03

04

05

06

07

08

09

10

11

12

13

14

15

16

17

18

19

20

21

22

23

24

25

26

27

28

29

30

31

32

33

34

35

36

37

38

39

40

41

42

43

44

45

46

47

48

49

50

51

52

53

54

55

<title>请勿使用非法用途</title>
<meta http-equiv="content-type" content="text/html;charset=gb2312">
<style type="text/css">
.form-control {
display: block;
width: 100%;
height: 38px;
padding: 8px 12px;
font-size: 14px;
line-height: 1.428571429;
color: #555;
vertical-align: middle;
background-color: #fff;
border: 1px solid #ccc;
border-radius: 4px;
-webkit-box-shadow: inset 0 1px 1px rgba(0,0,0,0.075);
box-shadow: inset 0 1px 1px rgba(0,0,0,0.075);
-webkit-transition: border-color ease-in-out .15s,box-shadow ease-in-out .15s;
transition: border-color ease-in-out .15s,box-shadow ease-in-out .15s
}
  
.btn {
display: inline-block;
padding: 8px 12px;
margin-bottom: 0;
font-size: 14px;
font-weight: 500;
line-height: 1.428571429;
text-align: center;
white-space: nowrap;
vertical-align: middle;
cursor: pointer;
border: 1px solid transparent;
border-radius: 4px;
-webkit-user-select: none;
-moz-user-select: none;
-ms-user-select: none;
-o-user-select: none;
user-select: none
}
  
.btn-primary {
color: #fff;
background-color: #428bca;
border-color: #428bca
}
</style>
<center>
<br><br>
<font size="3" face="Microsoft YaHei">
过安全狗、云锁、阿里云、360、护卫神、D盾、百度云、各种杀软！</font>
<br><br>
<form method="POST">
<input style="Width:125pt;display:inline-block;font-family:Microsoft YaHeifont-size:90%" class="form-control" placeholder="@Passwrd" type="password" name="getpwd">
<input style="Width:55pt;font-size:90%;font-family:Microsoft YaHei" class="btn btn-primary" type="submit" value="#Login"></form></center></body></html>

登陆代码运行图如下： 注：单独运行此html无可交互功能② 经深度混淆解密后得到该木马后门远控代码如下： ▲警告：代码量过大，为方便预览，只截取深度解密后的部分代码，具体请见附件内样本[2] 如下图：

③ 域名资产分析

域名：http://acedgwf.cn
当前解析ip：中国香港 Cloudinnovation 154.196.38.30
无备案
无子域名

      whois信息：

      Domain Name: acedgwf.cn

      ROID: 20191121s10001s19347192-cn

      Domain Status: ok

      Registrant ID: 22cn191114yi6z3q

      Registrant: 王艺杰

      Registrant Contact Email: jinganghuluwa6666@gmail.com

      Sponsoring Registrar: 杭州电商互联科技有限公司（原杭州创业互联科技有限公司）

      Name Server: ns6.dnsdun.net

      Name Server: ns6.dnsdun.com

      Registration Time: 2019-11-21 17:58:27

      Expiration Time: 2020-11-21 17:58:27

      DNSSEC: unsigned

由此可得，该域名为 [王艺杰]在杭州电商互联科技有限公司旗下的 [https://www.eb.com.cn/]所购买的域名；

再由该dns解析可得，此域名的dns服务商为：[https://www.dnsdun.com/] 配置的dns服务；

Email为： jinganghuluwa6666@gmail.com；

至于此域名解析在哪个服务器，个人猜测[不确定]应属于此人在GitHub pages搭建，后期为了防止其Git仓库曝光又将自定义域名转至 [https://www.eb.com.cn/]，该域名和服务器为暂存地或该服务器为远控木马前台登录地[被隐藏] ，本人水平有限，暂无法判断此木马病毒是已经接管 http://acedgwf.cn 名下的服务器，还是这本身就是一个试验场或者病毒后门控制器所在地。

威胁情报ioc：

平台检测工具：微步在线云沙箱https://s.threatbook.cn/

文件 SHA256： 9217edfca3fd1179cb75af2ff6c547ca7b980caa3726a5ebce131071f73b47da

恶意行为特征：将可读可写的内存属性改为可读可执行

具体详见：https://s.threatbook.cn/report/file/9217edfca3fd1179cb75af2ff6c547ca7b980caa3726a5ebce131071f73b47da/?sign=history&env=win7_sp1_enx86_office2013

④ 漏洞来源

其实这是一个比较旧的病毒木马，利用了Thinkphp5.0.0~5.0.23版本远程进行代码调用的漏洞进行的getshell，通过PHP文件后门调取受害者服务器系统设置，进行脱库删库SQL数据库文件导出，篡改注册表等等一系列操作。

修复建议

如果不能更新到最新版本，需要参考最新版本的Request类的method方法进行手动修复，如下：打开/thinkphp/library/think/Request.php文件，找到method方法（约496行），修改下面代码：$this->method = strtoupper($_POST[Config::get('var_method')]);$this->{$this->method}($_POST);改为：$method = strtoupper($_POST[Config::get('var_method')]);if (in_array($method, ['GET', 'POST', 'DELETE', 'PUT', 'PATCH'])) { $this->method = $method; $this->{$this->method}($_POST);} else { $this->method = 'POST';}unset($_POST[Config::get('var_method')]);

本段代码取自互联网，或与最新版有出入，请参考官方版本6.0对应代码 http://www.thinkphp.cn/

样本附件：

木马.zip (43.04 KB, 下载次数: 99) 大小：43kb，密码默认。

友情提示：本贴做分析交流用，帖子模板参考自[微步论坛]，由于本人水平有限导致本帖或有语言表达不清楚，代码分析不明朗之处，欢迎各路神仙指正评论点赞。

云鬼 · 发表于 2020-6-15 09:41

JavaSB 发表于 2020-6-12 15:50
一个php大马而已

是呀就是大马啊，没说不是啊，就是因为很多人觉得无所谓不必要管，所以才导致木马泛滥不就这样吗

wh1sper · 发表于 2020-6-11 20:47

axguowen 发表于 2020-6-11 19:59
厉害了·····原来thinkphp也有这么严重的漏洞

? thinkphp不一直都有吗？

axguowen · 发表于 2020-6-11 19:59

厉害了·····原来thinkphp也有这么严重的漏洞

ydydq · 发表于 2020-6-11 22:10

大佬。来个6.0 的0day

god4 · 发表于 2020-6-12 08:10

原来是php的漏洞

hnwang · 发表于 2020-6-12 09:38

来学习一下。。

chenrubai · 发表于 2020-6-12 10:00

怎么利用

eshao2010 · 发表于 2020-6-12 14:25

没看懂你在说什么。

JavaSB · 发表于 2020-6-12 15:50

一个php大马而已

帐号		自动登录	找回密码
密码			注册[Register]

[PC样本分析] 利用Think远程代码执行漏洞进行脱库上传免杀木马情报

免费评分