一條SQL注入引出的驚天大案
前情回顧:
WAF公司攔截到一個神祕的HTTP資料包,在這個包的表單欄位中發現了SQL語句。目標指向80埠,而這正是nginx公司的地盤。詳情參見:一個HTTP資料包的奇幻之旅
虛擬機器的世界
一個安靜的夜晚,我,一個新的執行緒誕生了!
我抬頭一看,原來我降生的地方是在一個IE瀏覽器中,這裡是一個Windows帝國!
一生下來就要幹活了,拿著我的程式碼開始忙活。
忙碌了一會兒,正當我在磁碟上寫入了一個kernerl32.dll檔案,我突然被凍結了,動彈不得,不僅如此,我看到其他執行緒也被凍結了,整個Windows帝國像是被冰封了一般!
“誰?誰在說話?”,我大聲呼喊。
“別掙扎了,你現在在虛擬機器裡,命運由我掌控!”。
虛擬機器?!原來這個Windows帝國是一個虛擬的世界,我開始為我的命運擔憂起來。
突然,漆黑降臨,身邊的執行緒一個個消失,帝國大廈也陸續坍塌,終於,輪到了我,我這短暫的一生就這樣結束了·······
這到底是怎麼一回事?故事還得從那個被WAF公司攔下的HTTP資料包說起。
突襲nginx公司
WAF公司攔下那個資料包的當晚,黑衣人帶隊闖入nginx公司。
“把你們頭兒叫來,我們是WAF公司的安全人員,發現一起針對80埠的SQL注入,經查80埠是你們nginx公司在監聽”。
小馬哥聞訊趕來,瞭解情況後,卻鬆了一口氣。
”這位大哥,80埠確實是我們在監聽不錯,但我們只是做代理轉發,實際提供服務的是隔壁Apache公司,你們還是去他們那裡看看吧“。
見黑衣人不信,小馬哥拿出了公司的配置檔案:
server { listen 80; location / { proxy_pass http://127.0.0.1:8088; } }
黑衣人看罷,查了下8088埠的監聽者,轉身離去,直奔Apache公司。
發現案情
Apache公司當值的小胖被黑衣人的來勢洶洶嚇了一跳,表明來意後,小胖帶著黑衣人來到了日誌管理部門,開始分析起了這段時間的Web日誌。
不看不知道,一看嚇一跳,原來在WAF公司來到帝國之前,已經發生了多起的SQL注入事件!突然一條日誌中的SQL引起了黑衣人的注意:
select url from imgs into outfile '/var/www/welcome.php'
這是向磁碟寫入了一個檔案啊!憑藉多年經驗,黑衣人斷定welcome.php是一個webshell木馬。
一旁的小胖也嚇了一跳,趕緊解釋說:大人,這不關我們Aapche的事兒啊,這是那個外包公司PHP搞的,是他們的問題。
黑衣人沒有多言,連忙去帝國檔案管理部去檢查這個檔案。
然而當黑衣人拿到這個檔案後,發現它和自己見過的webshell並不一樣,內容中出現了不少的js程式碼和大量的未知編碼資料。
黑衣人想起遠在Windows帝國的老周,或許他知道這是什麼。
(關於老周的故事,歡迎移步:我是一個防毒軟體執行緒)
361防毒公司的老周收到了黑衣人的訊息,開始對這個檔案進行分析。
老周看著有點眼熟,但又想不起何時曾經見過。
老周不敢貿然讓其執行,以防發生不測,決定將其放在一個虛擬的環境中執行,看看它的反應。
於是發生了前面的那一幕······
大戰前夕
老周準備向WAF公司黑衣人反饋分析的結果。
老弟:
你讓我分析的檔案已經有結果了。昨天剛拿到的時候還覺得有點眼熟,今天一分析果然,之前我們這裡的IE瀏覽器就曾經中過招!
這是一個包含瀏覽器漏洞攻擊的網頁,Windows帝國的IE瀏覽器只要一開啟就會被植入木馬程式。
詳細的分析報告請在附件中檢視。
——老周
黑衣人收到老周的報告,心裡更加的忐忑,從日誌分析來看,這條SQL注入記錄已經有一個多月了,這期間已經有數不清的瀏覽器來請求這個welcome.php頁面,不知道有多少人中了招。。。
容不得多想,黑衣人趕緊清除了這個檔案,並讓小胖通知PHP公司,修復漏洞。
夜深了,黑衣人離去,一切重歸安寧。
Linux帝國網路部負責TCP連線的小Q準備打個盹兒,這麼晚估計是沒有活幹了。
沒想到剛躺下,就來了一個連線請求,小Q揉揉惺忪的睡眼,準備來處理,然後接著很快來了第二個,第三個,第四個······
奇怪的是,每一個連線只發送了一個SYN就沒了音訊,小Q開始意識到情況不妙,拉響了帝國安全警報······
未完待續·······
彩蛋
“大人,我們安插在Linux帝國的“夜鶯”被拿下了,接下來該如何是好?”
“無妨,我們的目的已經達到。是時候給他們一點顏色看看了,養兵千日,用兵一時,啟動狼群計劃!”
欲知後事如何,請關注後續精彩:《DDoS攻擊-無限戰爭》
精彩回顧:
我是一個explorer的執行緒
我是一個防毒軟體執行緒
我是一個IE瀏覽器執行緒
位元宇宙-TCP/IP的誕生
產品vs程式設計師:你知道www是怎麼來的嗎?
我是一個流氓軟體執行緒
預設瀏覽器爭霸傳奇
遠去的傳說:安全軟體群雄混戰史
一個HTTP資料包的奇幻之旅
闖蕩Linux帝國:nginx的創業故事
核心地址空間大冒險:系統呼叫