文章插图
前言wordPress/ target=_blank class=infotextkey>WordPress是一个知名的开源内容管理系统(CMS),用于创建网站和个人博客 。根据预计,目前有35%的网站使用这一知名CMS,如此之大的比例也使其成为了威胁参与者的理想目标 。WordPress平台存在的一大弱点就是允许攻击者破坏网站的安全性,而这个弱点会随着网络安全形势的严峻而更加恶化 。
平时,我们经常可以看到有攻击者针对CMS平台发起攻击,这已经不再是一个新闻 。威胁行为者已经发现,对网站进行攻击可以成为一种攻破组织资产的有效手段 。这篇文章首先介绍我们在野外观察到的Payload示例,列举出针对WordPress的不同类型的攻击,深入揭秘攻击者是如何利用非法获取的管理员访问权限、API、Alfa-Shell部署和seo投毒来实现攻击 。
利用非法获取的管理员访问权限攻击WordPress站点这种方法需要使用管理员的帐户和密码访问使用WordPress架构的站点 。攻击者可能会利用漏洞,或使用泄露的密码及弱密码实现登录,这一过程可以通过向目标站点的/wp-login.php发送POST请求来实现 。
使用弱密码登录的攻击示例:
文章插图
攻击者进行暴力破解时所使用的密码:
文章插图
成功登录后,具有管理员访问权限的攻击者就能操作多个选项,攻击者通常会进行如下操作:
1、安装带有后门的自定义主题;
2、安装插件以上传文件 。
在成功获得管理员特权后,通常会进行这两种操作,此外攻击者还可以选择更改管理员密码,或创建新的管理员帐户 。最常用的方法是使用公共的主题,利用远程代码执行(RCE)漏洞来嵌入自定义的后门 。除此之外,还有一些文件上传的插件,攻击者可以借助这些插件直接上传Payload 。
应该注意的是,我们经常见到一个后门会部署具有相似功能的另一个后门 。当Payload/命令/代码被编码在Cookies或POST数据中时,使用GET或POST请求就可以完成部署 。解码的逻辑位于此前部署的后门内部 。在部署后,攻击者将收到新上传组件的URL 。
我们观察到的另外一个值得注意的功能是能修改已经存在的.php文件,从而使恶意请求更加隐蔽 。首先,记录所有可写的路径,选择一个合适的随机路径,然后修改所选的文件 。
在已经使用的Payload中,修改现有.php文件的功能:
文章插图
在实际案例中,修改后的程序功能已经应用于index.php之中,以在Unix隐藏文件(点文件)中包含使用.ico作为扩展名的恶意脚本,并伪装成图标 。
使用隐藏的.ico文件修改WordPress index.php的示例:
文章插图
另一个值得关注的功能是,可以影响其他相邻的域名 。要实现这一点,需要Web服务器具有多个域名,并且需保证当前用户对该目录具有写访问权限 。
尝试将Payload上传到相邻域名:
文章插图
在被攻击的WordPress站点中部署Alfa-Shell众所周知,攻击者可能会将WebShell部署到其攻击的WordPress网站上 。在这里,我们将重点介绍ALFA TEAM/solevisible使用的高级工具之一——Alfa-Shell 。
Alfa-Shell:
文章插图
Solevisible的GitHub帐户:
文章插图
这个WebShell为远程代码执行提供了一个用户友好的界面 。例如:注册CGI Handler以允许执行Perl、Python或Bash脚本 。Alfa-Shell还可以从WordPress配置文件中获取数据库凭据,从而进行数据库转储,并列举出所有虚拟域名和DNS设置 。
用于执行各种类型脚本的CGI Handler:
文章插图
部署的Bash脚本示例:
文章插图
该WebShell还支持多种平台,包括windows 。实际上,它能够从开发人员网站下载反向Shell并执行 。
Alfa Team制作的简单Windows反向Shell二进制文件:
推荐阅读
- 针对不同肥胖类型 12款对症瘦身减肥茶推荐
- |内心强大的聪明人,会有这三种特殊的表现,不会再被小人针对
- 揭秘外挂产业链 易语言写挂
- 普洱贡茶传承人揭秘三百年贡茶之历史及制作
- 揭秘感德茶叶批发商从个体到集群化的茶叶蜕变之路
- 以科技谱写健康 揭秘君山银针与保健养生
- 揭秘普洱茶品牌营销的五个策略
- 揭秘:8款风靡一时的牛仔裤 都是怎么流行起来的?
- 外科医用口罩怎样识别真假?
- 济南茶市茶商揭秘茶叶行业暴利