吾爱破解 - 52pojie.cn

 找回密码
 注册[Register]

QQ登录

只需一步,快速开始

查看: 9953|回复: 21
收起左侧

[PC样本分析] 利用Think远程代码执行漏洞进行脱库上传免杀木马情报

  [复制链接]
云鬼 发表于 2020-6-11 15:50
使用论坛附件上传样本压缩包时必须使用压缩密码保护,压缩密码:52pojie,否则会导致论坛被杀毒软件等误报,论坛有权随时删除相关附件和帖子!
病毒分析分区附件样本、网址谨慎下载点击,可能对计算机产生破坏,仅供安全人员在法律允许范围内研究,禁止非法用途!
禁止求非法渗透测试、非法网络攻击、获取隐私等违法内容,即使对方是非法内容,也应向警方求助!
1 详细说明


近日我捕获到一个利用Think远程代码执行漏洞进行脱库上传免杀木马的最新样本。样本文件名为http://acedgwf.cn/01/js.css(伪装加密后的php文件),直接打开后展示“js.css”(php语言加密代码)。如下图所示:

1.png
如果看不清在图片上右键在新标签页打开图片


2 情报来源


  经由地址http://acedgwf.cn/01/js.css 捕获远控木马样本


3 样本分析


我将从以下四个步骤来进行情报提交:捕获样本情报→ 分析解密后门文件代码→分析域名资产和&漏洞影响→漏洞来源&修复建议




① 首先对以上代码单独解密后得出以下html前台远控登录代码,如下




[HTML] 纯文本查看 复制代码
<title>请勿使用非法用途</title>
<meta http-equiv="content-type" content="text/html;charset=gb2312">
<style type="text/css">
.form-control {
display: block;
width: 100%;
height: 38px;
padding: 8px 12px;
font-size: 14px;
line-height: 1.428571429;
color: #555;
vertical-align: middle;
background-color: #fff;
border: 1px solid #ccc;
border-radius: 4px;
-webkit-box-shadow: inset 0 1px 1px rgba(0,0,0,0.075);
box-shadow: inset 0 1px 1px rgba(0,0,0,0.075);
-webkit-transition: border-color ease-in-out .15s,box-shadow ease-in-out .15s;
transition: border-color ease-in-out .15s,box-shadow ease-in-out .15s
}
 
.btn {
display: inline-block;
padding: 8px 12px;
margin-bottom: 0;
font-size: 14px;
font-weight: 500;
line-height: 1.428571429;
text-align: center;
white-space: nowrap;
vertical-align: middle;
cursor: pointer;
border: 1px solid transparent;
border-radius: 4px;
-webkit-user-select: none;
-moz-user-select: none;
-ms-user-select: none;
-o-user-select: none;
user-select: none
}
 
.btn-primary {
color: #fff;
background-color: #428bca;
border-color: #428bca
}
</style>
<center>
<br><br>
<font size="3" face="Microsoft YaHei">
过安全狗、云锁、阿里云、360、护卫神、D盾、百度云、各种杀软!</font>
<br><br>
<form method="POST">
<input style="Width:125pt;display:inline-block;font-family:Microsoft YaHeifont-size:90%" class="form-control" placeholder="@Passwrd" type="password" name="getpwd">
<input style="Width:55pt;font-size:90%;font-family:Microsoft YaHei" class="btn btn-primary" type="submit" value="#Login"></form></center></body></html>



登陆代码运行图如下: 2.png 注:单独运行此html无可交互功能② 经深度混淆解密后得到该木马后门远控代码如下:    ▲警告:代码量过大,为方便预览,只截取深度解密后的部分代码,具体请见附件内样本[2] 如下图: 3.png ③ 域名资产分析
  • 域名:http://acedgwf.cn
  • 当前解析ip:中国 香港 Cloudinnovation 154.196.38.30
  • 无备案
  • 无子域名

        whois信息:


        Domain Name: acedgwf.cn


        ROID: 20191121s10001s19347192-cn


        Domain Status: ok


        Registrant ID: 22cn191114yi6z3q


        Registrant: 王艺杰


        Registrant Contact Email: jinganghuluwa6666@gmail.com


        Sponsoring Registrar: 杭州电商互联科技有限公司(原杭州创业互联科技有限公司)


        Name Server: ns6.dnsdun.net


        Name Server: ns6.dnsdun.com


        Registration Time: 2019-11-21 17:58:27


        Expiration Time: 2020-11-21 17:58:27



        DNSSEC: unsigned




由此可得,该域名为 [王艺杰]在杭州电商互联科技有限公司旗下的 [https://www.eb.com.cn/]所购买的域名;


再由该dns解析可得,此域名的dns服务商为:[https://www.dnsdun.com/] 配置的dns服务;


Email为: jinganghuluwa6666@gmail.com


至于此域名解析在哪个服务器,个人猜测[不确定]应属于此人在GitHub pages搭建,后期为了防止其Git仓库曝光又将自定义域名转至 [https://www.eb.com.cn/],该域名和服务器为暂存地 或 该服务器为 远控木马前台登录地[被隐藏] ,本人水平有限,暂无法判断此木马病毒是已经接管 http://acedgwf.cn 名下的服务器,还是这本身就是一个试验场或者病毒后门控制器所在地。


威胁情报ioc


平台检测工具:微步在线云沙箱https://s.threatbook.cn/


文件 SHA256: 9217edfca3fd1179cb75af2ff6c547ca7b980caa3726a5ebce131071f73b47da


恶意行为特征: 将可读可写的内存属性改为可读可执行


具体详见:https://s.threatbook.cn/report/file/9217edfca3fd1179cb75af2ff6c547ca7b980caa3726a5ebce131071f73b47da/?sign=history&env=win7_sp1_enx86_office2013




④ 漏洞来源


其实这是一个比较旧的病毒木马,利用了Thinkphp5.0.0~5.0.23版本远程进行代码调用的漏洞进行的getshell,通过PHP文件后门调取受害者服务器系统设置,进行脱库删库SQL数据库文件导出,篡改注册表等等一系列操作。
   
    修复建议


如果不能更新到最新版本,需要参考最新版本的Request类的method方法进行手动修复,如下:打开/thinkphp/library/think/Request.php文件,找到method方法(约496行),修改下面代码:$this->method = strtoupper($_POST[Config::get('var_method')]);$this->{$this->method}($_POST);改为:$method = strtoupper($_POST[Config::get('var_method')]);if (in_array($method, ['GET', 'POST', 'DELETE', 'PUT', 'PATCH'])) {    $this->method = $method;    $this->{$this->method}($_POST);} else {    $this->method = 'POST';}unset($_POST[Config::get('var_method')]);


本段代码取自互联网,或与最新版有出入,请参考官方版本6.0对应代码 http://www.thinkphp.cn/




样本附件: 木马.zip (43.04 KB, 下载次数: 98) 大小:43kb,密码默认。


友情提示:本贴做分析交流用,帖子模板参考自[微步论坛],由于本人水平有限导致本帖或有语言表达不清楚,代码分析不明朗之处,欢迎各路神仙指正评论点赞。


image.png

免费评分

参与人数 7吾爱币 +7 热心值 +7 收起 理由
小小学生 + 1 + 1 欢迎分析讨论交流,吾爱破解论坛有你更精彩!
hnwang + 1 + 1 我很赞同!
柏林舍下 + 1 + 1 强!
GGbond + 1 + 1 我很赞同!
nullable + 1 + 1 热心回复!
thenow + 1 + 1 谢谢@Thanks!
福多多 + 1 + 1 谢谢@Thanks!

查看全部评分

发帖前要善用论坛搜索功能,那里可能会有你要找的答案或者已经有人发布过相同内容了,请勿重复发帖。

 楼主| 云鬼 发表于 2020-6-15 09:41
JavaSB 发表于 2020-6-12 15:50
一个php大马而已

是呀就是大马啊,没说不是啊,就是因为很多人觉得无所谓不必要管,所以才导致木马泛滥不就这样吗
wh1sper 发表于 2020-6-11 20:47
axguowen 发表于 2020-6-11 19:59
厉害了·····原来thinkphp也有这么严重的漏洞

? thinkphp不一直都有吗?
axguowen 发表于 2020-6-11 19:59
厉害了·····原来thinkphp也有这么严重的漏洞
ydydq 发表于 2020-6-11 22:10
大佬。来个6.0 的0day
god4 发表于 2020-6-12 08:10
原来是php的漏洞
hnwang 发表于 2020-6-12 09:38
来学习一下。。
chenrubai 发表于 2020-6-12 10:00
怎么利用
eshao2010 发表于 2020-6-12 14:25
没看懂你在说什么。
JavaSB 发表于 2020-6-12 15:50
一个php大马而已
您需要登录后才可以回帖 登录 | 注册[Register]

本版积分规则

返回列表

RSS订阅|小黑屋|处罚记录|联系我们|吾爱破解 - LCG - LSG ( 京ICP备16042023号 | 京公网安备 11010502030087号 )

GMT+8, 2024-11-24 09:45

Powered by Discuz!

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表