全球主机交流论坛

标题: 根据日志查到PbootCMS程序有大漏洞 [打印本页]

作者: zxjlhsq 时间: 2024-4-17 12:18
标题: 根据日志查到PbootCMS程序有大漏洞
贴不了代码，直接上图。

103.19.190.83 - - [16/Apr/2024:03:02:32 +0800] "GET /aasaa.php HTTP/1.1" 200 146 "-" "python-requests/2.31.0"

然后网站就被入侵了留了好多木马文件。

我自己访问日志里面的URL时提示404错误，因为里面有

{pboot:if}

复制代码

这些符号，不知道是怎么访问的？

作者: zxjlhsq 时间: 2024-4-17 12:20
我自己访问后，日志里面记录是

/%7Bpboot:if((/x22file_put_co/x22

复制代码

%7B 和 { 不一样啊？

作者: larry 时间: 2024-4-17 12:27
本论坛只建政，不讨论技术相关话题。

作者: Mr.lin 时间: 2024-4-17 13:34

zxjlhsq 发表于 2024-4-16 20:20
我自己访问后，日志里面记录是 %7B 和 { 不一样啊？

我也发不了代码, 你的url参数被编码了, 用 urllib 发送请求

作者: txjcv 时间: 2024-4-17 13:36

larry 发表于 2024-4-17 12:27
本论坛只建政，不讨论技术相关话题。

搞反了吧

作者: mouzhai 时间: 2024-4-17 13:39
谢谢，已经更换了，有没有别的适合做公司门户网站的主题

作者: zxjlhsq 时间: 2024-4-17 16:58

Mr.lin 发表于 2024-4-17 13:34
我也发不了代码, 你的url参数被编码了, 用 urllib 发送请求

兄弟发个截图看下，URL是怎么被编码的，外包说是修复了，我又无法重现这个BUG，不敢上线啊。

作者: van 时间: 2024-4-17 17:07

larry 发表于 2024-4-17 12:27
本论坛只建政，不讨论技术相关话题。

说的对

作者: 瞄人缝 时间: 2024-4-17 17:09
这种程序，不要为好，补不完的

作者: Celestine 时间: 2024-4-17 17:11

mouzhai 发表于 2024-4-17 13:39
谢谢，已经更换了，有没有别的适合做公司门户网站的主题

做好安全策略，用啥都一样

作者: Mr.lin 时间: 2024-4-17 17:27

zxjlhsq 发表于 2024-4-17 00:58
兄弟发个截图看下，URL是怎么被编码的，外包说是修复了，我又无法重现这个BUG，不敢上线啊。 ...

大括号被编码为 %7B. 使用 urllib.request.urlopen 方法发送 url 可以不被编码, urllib是python原生的包, 很低层.

requests底层还使用了 urllib3, 它们全部都会将发出的url进行编码, 光hook requests还不够, 你还需要hook urllib3, 所以直接用 urllib 别纠结 requests 是怎么编码的了

既然外包说修复了那就算了吧, 你问问这个漏洞是谁的锅

作者: 下颚撕裂器 时间: 2024-4-17 17:30
国产的洞最多了还不如wordpress整个

作者: zxjlhsq 时间: 2024-4-18 10:52

Mr.lin 发表于 2024-4-17 17:27
大括号被编码为 %7B. 使用 urllib.request.urlopen 方法发送 url 可以不被编码, urllib是python原生的包, ...

外包只修复其中一个漏洞，看了最新日志，然后用大佬的方法模拟成功了，感谢，还好我设置了全站只读。
外包用的不是最新版程序，又不愿意花精力升级到最新版，意思想要收额外的钱。

作者: 任播 时间: 2024-4-18 15:20

larry 发表于 2024-4-17 12:27
本论坛只建政，不讨论技术相关话题。

你太秀了。

作者: Huuuuu 时间: 2024-4-18 17:24
模板注入

作者: Huuuuu 时间: 2024-4-18 17:25
全站只读并不能解决问题，他是可以执行命令的

作者: icon 时间: 2024-4-18 17:26
你需要用一个waf,比如btwaf
php站，没个前端waf都不放心的

作者: zxjlhsq 时间: 2024-4-19 12:37

icon 发表于 2024-4-18 17:26
你需要用一个waf,比如btwaf
php站，没个前端waf都不放心的

谢大佬提醒，自己用openresty+waf 然后从日志里面找出注入的URL 进行添加，现在已经可以拦截了。。

欢迎光临全球主机交流论坛 (https://91ai.net/)