本文介绍了某公司技术人员发现的一次疑似CVE-2012-1823攻击事件的分析过程。攻击者试图利用php-cgi的远程代码执行漏洞,通过特殊URL构造开启服务器的allow_url_include和auto_prepend_file配置。攻击者使用混淆和解压等手段隐藏webshell,但因访问限制未能进一步实施。事件提醒用户应及时更新PHP版本并谨慎配置服务器,以防止类似攻击。
【1】初见端倪
某日,在我司技术人员的日常巡检过程中发现有一个客户现场的聚铭网络流量智能分析审计系统(iNFA)报出“疑似存在 CVE-2012-1823攻击尝试”的安全事件,于是立即要求相关技术人员抓取流量数据包,以便对本次疑似攻击事件进行分析和判定。
本文内容主要对该次攻击事件涉及的分析思路和相关技术进行分享,现场抓取的数据包内容如下图所示(敏感数据已进行脱敏处理)。
图1 攻击的相关数据
从数据的请求数据中可以发现几个可疑的点,应该重点关注和分析,或许能找到一些有用的线索。
- URL部分:
/?-d+allow_url_include%3don±d+auto_prepend_file%3dphp%3a//input
- User-Agent部分:
Mozilla/5.0 (compatible; Baiduspider/2.0; +http://www.baidu.com/search/spider.html
-
POST数据部分
-
请求的源地址:45.15.11.214
【2】抽丝剥茧
- URL部分
很明显,这个URL请求和正常的请求有很大区别,与其说看起来路径奇怪,不如说更像是特意构造出来的特殊语句。
?-d+allow_u
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
