Skip to content

Latest commit

 

History

History
144 lines (64 loc) · 3.2 KB

[here404]-2021-8-24-记一次审计小师妹的Code.md

File metadata and controls

144 lines (64 loc) · 3.2 KB

记一次审计小师妹的Code

原创 f4ltJ4y here404

here404

微信号 gh_ef35f1b63a8e

功能介绍 here404


__

收录于话题

#代码审计

5个

0x00 背景

文章算是之前挖矿事件的后续,前文讲到学校的机器中了挖矿,显卡占用飙升到100%。后续应急排查过程中删掉了开机自启动的应用,修正了/etc/passwd文件。现在小师妹让看下部署在这个机器上的代码。本次仅是单纯的记录一下。

0x01 前端代码分析

项目是实验室的项目,功能很简单。并没有系统登录一类的功能,直接提供了一个上传页面。

从这个图上也仅有一些零散的页面。因为是实验室小师妹的项目嘛,就是为了完成单个目标,具备需要的功能就行了,在文件命名上都缺乏规范,代码量也不大。随意浏览了一下,前端的界面就只有一个代码上传的功能。

基本代码都如下,用了一个form表单来实现上传功能。


    <form class="form" action="fileupload.do" method="post" enctype="multipart/form-data">      <div>        <input type="submit" value="上传"/>        <input class="file" id="files" type="file" name="file1" multiple/><br/>          <%session.setAttribute("choice", 5);%>          </div>      </form>

0x02 后端分析

看到前端代码有个上传到fileupload的action,通过配置文件找到处理该请求的controller。

接下来分析后端的代码

首先明确了上传文件路径,重命名了上传文件名,如此上传文件没有保存在web路径下,问题不大。

继续看下一个部分,白名单方式处理图片后缀,并且保存在了非web路径。

0x03 总结

简单审计,两处上传都问题不大,既然挖矿不是从这个途径过来的,那可能就是从账户弱口令这块搞的了。跟小师妹说加强口令管理就完事了。

预览时标签不可点

收录于话题 #

个 __

上一篇 下一篇

阅读

分享 收藏

赞 在看

____已同步到看一看写下你的想法

前往“发现”-“看一看”浏览“朋友在看”

前往看一看

看一看入口已关闭

在“设置”-“通用”-“发现页管理”打开“看一看”入口

我知道了

__

已发送

取消 __

发送到看一看

发送

记一次审计小师妹的Code

最多200字,当前共字

__

发送中

写下你的留言

微信扫一扫
关注该公众号

微信扫一扫
使用小程序


取消 允许


取消 允许

知道了

长按识别前往小程序