利用Think远程代码执行漏洞进行脱库上传免杀木马情报

1 详细说明


近日我捕获到一个利用Think远程代码执行漏洞进行脱库上传免杀木马的最新样本。样本文件名为http://acedgwf.cn/01/js.css(伪装加密后的php文件),直接打开后展示“js.css”(php语言加密代码)。如下图所示:


如果看不清在图片上右键在新标签页打开图片


2 情报来源


  经由地址http://acedgwf.cn/01/js.css 捕获远控木马样本


3 样本分析


我将从以下四个步骤来进行情报提交:捕获样本情报→ 分析解密后门文件代码→分析域名资产和&漏洞影响→漏洞来源&修复建议




① 首先对以上代码单独解密后得出以下html前台远控登录代码,如下



[HTML] 纯文本查看 复制代码
01
02
03
04
05
06
07
08
09
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
35
36
37
38
39
40
41
42
43
44
45
46
47
48
49
50
51
52
53
54
55
<title>请勿使用非法用途</title>
<meta http-equiv="content-type" content="text/html;charset=gb2312">
<style type="text/css">
.form-control {
display: block;
width: 100%;
height: 38px;
padding: 8px 12px;
font-size: 14px;
line-height: 1.428571429;
color: #555;
vertical-align: middle;
background-color: #fff;
border: 1px solid #ccc;
border-radius: 4px;
-webkit-box-shadow: inset 0 1px 1px rgba(0,0,0,0.075);
box-shadow: inset 0 1px 1px rgba(0,0,0,0.075);
-webkit-transition: border-color ease-in-out .15s,box-shadow ease-in-out .15s;
transition: border-color ease-in-out .15s,box-shadow ease-in-out .15s
}
  
.btn {
display: inline-block;
padding: 8px 12px;
margin-bottom: 0;
font-size: 14px;
font-weight: 500;
line-height: 1.428571429;
text-align: center;
white-space: nowrap;
vertical-align: middle;
cursor: pointer;
border: 1px solid transparent;
border-radius: 4px;
-webkit-user-select: none;
-moz-user-select: none;
-ms-user-select: none;
-o-user-select: none;
user-select: none
}
  
.btn-primary {
color: #fff;
background-color: #428bca;
border-color: #428bca
}
</style>
<center>
<br><br>
<font size="3" face="Microsoft YaHei">
过安全狗、云锁、阿里云、360、护卫神、D盾、百度云、各种杀软!</font>
<br><br>
<form method="POST">
<input style="Width:125pt;display:inline-block;font-family:Microsoft YaHeifont-size:90%" class="form-control" placeholder="@Passwrd" type="password" name="getpwd">
<input style="Width:55pt;font-size:90%;font-family:Microsoft YaHei" class="btn btn-primary" type="submit" value="#Login"></form></center></body></html>

 


登陆代码运行图如下:  注:单独运行此html无可交互功能② 经深度混淆解密后得到该木马后门远控代码如下:    ▲警告:代码量过大,为方便预览,只截取深度解密后的部分代码,具体请见附件内样本[2] 如下图:  ③ 域名资产分析

  • 域名:http://acedgwf.cn
  • 当前解析ip:中国 香港 Cloudinnovation 154.196.38.30
  • 无备案
  • 无子域名

        whois信息:


        Domain Name: acedgwf.cn


        ROID: 20191121s10001s19347192-cn


        Domain Status: ok


        Registrant ID: 22cn191114yi6z3q


        Registrant: 王艺杰


        Registrant Contact Email: jinganghuluwa6666@gmail.com


        Sponsoring Registrar: 杭州电商互联科技有限公司(原杭州创业互联科技有限公司)


        Name Server: ns6.dnsdun.net


        Name Server: ns6.dnsdun.com


        Registration Time: 2019-11-21 17:58:27


        Expiration Time: 2020-11-21 17:58:27

        DNSSEC: unsigned




由此可得,该域名为 [王艺杰]在杭州电商互联科技有限公司旗下的 [https://www.eb.com.cn/]所购买的域名;


再由该dns解析可得,此域名的dns服务商为:[https://www.dnsdun.com/] 配置的dns服务;


Email为: jinganghuluwa6666@gmail.com


至于此域名解析在哪个服务器,个人猜测[不确定]应属于此人在GitHub pages搭建,后期为了防止其Git仓库曝光又将自定义域名转至 [https://www.eb.com.cn/],该域名和服务器为暂存地 或 该服务器为 远控木马前台登录地[被隐藏] ,本人水平有限,暂无法判断此木马病毒是已经接管 http://acedgwf.cn 名下的服务器,还是这本身就是一个试验场或者病毒后门控制器所在地。


威胁情报ioc


平台检测工具:微步在线云沙箱https://s.threatbook.cn/


文件 SHA256: 9217edfca3fd1179cb75af2ff6c547ca7b980caa3726a5ebce131071f73b47da


恶意行为特征: 将可读可写的内存属性改为可读可执行


具体详见:https://s.threatbook.cn/report/file/9217edfca3fd1179cb75af2ff6c547ca7b980caa3726a5ebce131071f73b47da/?sign=history&env=win7_sp1_enx86_office2013




④ 漏洞来源


其实这是一个比较旧的病毒木马,利用了Thinkphp5.0.0~5.0.23版本远程进行代码调用的漏洞进行的getshell,通过PHP文件后门调取受害者服务器系统设置,进行脱库删库SQL数据库文件导出,篡改注册表等等一系列操作。
   
    修复建议


如果不能更新到最新版本,需要参考最新版本的Request类的method方法进行手动修复,如下:打开/thinkphp/library/think/Request.php文件,找到method方法(约496行),修改下面代码:$this->method = strtoupper($_POST[Config::get(‘var_method’)]);$this->{$this->method}($_POST);改为:$method = strtoupper($_POST[Config::get(‘var_method’)]);if (in_array($method, [‘GET’, ‘POST’, ‘DELETE’, ‘PUT’, ‘PATCH’])) {    $this->method = $method;    $this->{$this->method}($_POST);} else {    $this->method = ‘POST’;}unset($_POST[Config::get(‘var_method’)]);


本段代码取自互联网,或与最新版有出入,请参考官方版本6.0对应代码 http://www.thinkphp.cn/




样本附件:  木马.zip (43.04 KB, 下载次数: 6) 大小:43kb,密码默认。


友情提示:本贴做分析交流用,帖子模板参考自[微步论坛],由于本人水平有限导致本帖或有语言表达不清楚,代码分析不明朗之处,欢迎各路神仙指正评论点赞。

image.png (70.17 KB, 下载次数: )

 

image.png
本文转自隔壁吾爱大神,侵权删。

人已赞赏
各种教程精品软件

两款网站后门在线查杀webshell工具

2020-6-10 10:12:51

文章分享

PDF万能转换器

2020-6-25 12:14:40

0 条回复 A文章作者 M管理员
    暂无讨论,说说你的看法吧
个人中心
购物车
优惠劵
今日签到
有新私信 私信列表
搜索