记一次审计小师妹的Code

原创 f4ltJ4y here404

here404

微信号 gh_ef35f1b63a8e

功能介绍 here404

__

收录于话题

#代码审计

5个

0x00 背景

文章算是之前挖矿事件的后续，前文讲到学校的机器中了挖矿，显卡占用飙升到100%。后续应急排查过程中删掉了开机自启动的应用，修正了/etc/passwd文件。现在小师妹让看下部署在这个机器上的代码。本次仅是单纯的记录一下。

0x01 前端代码分析

项目是实验室的项目，功能很简单。并没有系统登录一类的功能，直接提供了一个上传页面。

从这个图上也仅有一些零散的页面。因为是实验室小师妹的项目嘛，就是为了完成单个目标，具备需要的功能就行了，在文件命名上都缺乏规范，代码量也不大。随意浏览了一下，前端的界面就只有一个代码上传的功能。

基本代码都如下，用了一个form表单来实现上传功能。

    <form class="form" action="fileupload.do" method="post" enctype="multipart/form-data">      <div>        <input type="submit" value="上传"/>        <input class="file" id="files" type="file" name="file1" multiple/><br/>          <%session.setAttribute("choice", 5);%>          </div>      </form>

0x02 后端分析

看到前端代码有个上传到fileupload的action，通过配置文件找到处理该请求的controller。

接下来分析后端的代码

首先明确了上传文件路径，重命名了上传文件名，如此上传文件没有保存在web路径下，问题不大。

继续看下一个部分，白名单方式处理图片后缀，并且保存在了非web路径。

0x03 总结

简单审计，两处上传都问题不大，既然挖矿不是从这个途径过来的，那可能就是从账户弱口令这块搞的了。跟小师妹说加强口令管理就完事了。

预览时标签不可点

收录于话题 #

个 __

阅读

分享收藏

赞在看

____已同步到看一看写下你的想法

前往“发现”-“看一看”浏览“朋友在看”

前往看一看

看一看入口已关闭

在“设置”-“通用”-“发现页管理”打开“看一看”入口

我知道了

__

已发送

取消 __

发送到看一看

发送

记一次审计小师妹的Code

最多200字，当前共字

__

发送中

写下你的留言

微信扫一扫
关注该公众号

微信扫一扫
使用小程序

取消允许

知道了

长按识别前往小程序

Provide feedback

Saved searches

Use saved searches to filter your results more quickly