## 第9篇:编辑器入侵事件 UEditor是百度的一个javascript编辑器的开源项目,很多开发人员都喜欢引用这个编辑器,但这个编辑器官网版本一直停留在2016-05-26,已经很久没有更新了。 ### 0x01 现象描述 HIDS预警:发现后门(Webshell)文件,建议您立即进行处理。 ### 0x02 事件分析 **1、发现Webshell** 通过预警信息,找到木马文件路径: ![](./image/9-1.png) 备注:紧急处理,通过禁止动态脚本在上传目录的运行权限,使webshell无法成功执行。 **2、定位文件上传时间** 根据Webshell文件创建时间,2020年3月9日 15:08:34 ![](./image/9-2.png) 3、**Web访问日志关联分析** 由于,IIS日志时间与系统时间相差8小时,系统时间是15:08,我们这里查看的是 7:08的日志时间。 ~~~ 2020-03-09 07:08:34 10.215.2.128 POST /ueditor/net/controller.ashx action=catchimage ................... ................... 2020-03-09 07:08:35 10.215.2.128 POST /ueditor/net/controller.ashx action=catchimage ~~~ 找到对应的网站访问日志,在文件创建时间隔间里,我们会注意到这样两个ueditor的访问请求,初步怀疑是UEditor编辑器任意文件上传漏洞。 **4、本地漏洞复现** A、本地构建一个html ~~~

shell addr:

~~~ B、上传webshell,上传成功 ![](./image/9-3.png) 经漏洞复现,确认UEditor编辑器任意文件上传漏洞。 **5、还原攻击者行为** 通过相关文件的访问记录进行关联分析,攻击者通过 ueditor编辑器成功上传webshell。 ### 0x03 事件处理 1、**删除Webshell** 清楚已发现的webshell,并尝试查找可能隐藏的webshell。 **2、代码完整性验证** 我们来思考一个问题,如果有一个免杀的Webshell隐藏在数以万行的代码中,怎么搞? 文件完整性校验,检查网站的源码是否被篡改过。 操作过程: 通过查看服务器上已部署的源代码版本,找研发同事要同样版本的代码。把纯净源码的所有文件计算一次hash值保存,再到服务器上执行一次hash值,通过比对hash值,输出新创建的/被修改过的/删除的文件列表。 **3、系统入侵排查** 对系统做一个整体排查,确认是否存在后门 **4、代码修复** 反馈给相关开发人员进行代码修复。