原创 f4ltJ4y here404
here404
微信号 gh_ef35f1b63a8e
功能介绍 here404
__
收录于话题
#代码审计
5个
文章算是之前挖矿事件的后续,前文讲到学校的机器中了挖矿,显卡占用飙升到100%。后续应急排查过程中删掉了开机自启动的应用,修正了/etc/passwd文件。现在小师妹让看下部署在这个机器上的代码。本次仅是单纯的记录一下。
项目是实验室的项目,功能很简单。并没有系统登录一类的功能,直接提供了一个上传页面。
从这个图上也仅有一些零散的页面。因为是实验室小师妹的项目嘛,就是为了完成单个目标,具备需要的功能就行了,在文件命名上都缺乏规范,代码量也不大。随意浏览了一下,前端的界面就只有一个代码上传的功能。
基本代码都如下,用了一个form表单来实现上传功能。
<form class="form" action="fileupload.do" method="post" enctype="multipart/form-data"> <div> <input type="submit" value="上传"/> <input class="file" id="files" type="file" name="file1" multiple/><br/> <%session.setAttribute("choice", 5);%> </div> </form>
看到前端代码有个上传到fileupload的action,通过配置文件找到处理该请求的controller。
接下来分析后端的代码
首先明确了上传文件路径,重命名了上传文件名,如此上传文件没有保存在web路径下,问题不大。
继续看下一个部分,白名单方式处理图片后缀,并且保存在了非web路径。
简单审计,两处上传都问题不大,既然挖矿不是从这个途径过来的,那可能就是从账户弱口令这块搞的了。跟小师妹说加强口令管理就完事了。
预览时标签不可点
收录于话题 #
个 __
上一篇 下一篇
阅读
分享 收藏
赞 在看
____已同步到看一看写下你的想法
前往“发现”-“看一看”浏览“朋友在看”
前往看一看
看一看入口已关闭
在“设置”-“通用”-“发现页管理”打开“看一看”入口
我知道了
__
已发送
取消 __
发送
记一次审计小师妹的Code
最多200字,当前共字
__
发送中
写下你的留言
微信扫一扫
关注该公众号
微信扫一扫
使用小程序
取消 允许
取消 允许
知道了
长按识别前往小程序