6 年前 ThinkPHP 框架漏洞再成黑客手中武器,用于安装 Dama 恶意软件

6 月 7 日消息,网络安全公司 Akamai 于 6 月 5 日发布博文,黑客近期再次利用 2018 年曝光的漏洞,攻击 ThinkPHP 应用程序安装名为 Dama 的持久性后门壳层(web shell)。

ThinkPHP 是一个免费开源的,快速、简单的面向对象的轻量级 PHP 开发框架,是为了敏捷 WEB 应用开发和简化企业应用开发而诞生的,在国内比较盛行。

附上本次黑客利用的漏洞如下:

CVE-2018-20062:

2018 年 12 月修复,存在于 NoneCMS 1.3 中,远程攻击者可以通过精心设计的过滤器参数执行任意 PHP 代码。

CVE-2019-9082

影响开源 BMS 1.1.1 中使用的 ThinkPHP 3.2.4 及更早版本,是一个于 2019 年 2 月解决的远程命令执行问题。

在这次攻击活动中,攻击者利用这两个漏洞执行远程代码,影响目标端点上的底层内容管理系统(CMS)。

具体地说,攻击者利用这些漏洞下载了一个名为“public.txt”的文本文件,而这个文件实际上是经过混淆的 Dama 后门壳层,保存为“roeter.php”。

该后门壳层会下载相关攻击脚本,使用密码“admin”进行简单的身份验证步骤,实现远程控制服务器。

设备一旦感染 Dama 后门壳层,攻击者入侵服务器上的文件系统、上传文件和收集系统数据,帮助其提升至 root 权限。

它还可以执行网络端口扫描、访问数据库,以及绕过禁用的 PHP 功能执行 shell 命令。

Published by

风君子

独自遨游何稽首 揭天掀地慰生平