找回密码
 立即注册

win服务器注意权限啦,谨防Discuz 被webshell

[复制链接]
69伙伴 发表于 2019-8-15 08:08:57 | 显示全部楼层 |阅读模式
昨天看见群莫名其妙被封了,想到论坛发个帖,才发现 论坛被 shell了
看了下大概 2019-08-9


这次被webshell 是通论坛附件,上传了 一个shell php
(附件里提供下载了,让我回想 曾经我用的 中国菜刀)
这次的叫 2018最新AK47   看了下说明,跟我年轻时候会用的差不多。
附件等 phpshell 的密码是  admins


--------------------------------------

okgo被封后,就丢回国内挂win主机上了,本来这论坛 就是资料站,
找个地方挂就行了,没想到竟然 被shell...  
我突然感觉很自豪呢,被人搞说明这里还有满有吸引力的是不是 OVO


言归正传,总结下这次被shell主要是 没做win权限。别问我怎么弄,我也不会,
从win2000之后就没用过win主机了 这个大家百度下吧。
这台win主机买到后就当vpn用的 ,玩游戏的用的。。。

----------------------------------
找问题,先看日志


当我看见 日志时候的一刹那,我就完全不想看了。
连丢日子分析器里的心情都没有。
(我没心情看主要是机器和论坛都不重要 你们可不要学我,因为我是80后为了养家糊口天天忙成狗曾经的梦想 ,曾经的棱角都随着岁月早已磨没了。现在我一切都是浮云。。。) QQ图片20190815081249.png

win被shell,一般多是权限问题。而提权需要用到 cmd.exe  所以在日子里直接搜索下 .exe
看看有没有 ,一般都是通过网页请求附带 一串 奇怪的地址。很容易找。
QQ图片20190815083334.png


看到这里就可以确认是web shell 具体咋回事,
怎么个过程 就懒得继续看了,知道是web shell 就行了
起码被win漏洞要好处理,win的漏洞压根就不知道是哪里的问题。
而被shell了 多数都是权限问题,一般也就是附件被上传了一个php 基本都这样

DZ附件位置  \data\attachment\forum
结果还真在附件里找到了php
QQ图片20190815083834.png


既然找到了问题,就要解决


办法无非就是设置权限别,但是我不会win权限。。
于是把论坛附件,从论坛目录里分离出来,变成两个站点
论坛 是一个站  附件是一个站
论坛 bbs.wgpro.com    论坛附件  bbs.cdn.wgpro.com
附件站点,vhost_conf 里不给运行php的权限 桀桀桀
至于哪里出的问题,无所谓。
并不用去费心找。
因为不管怎么弄,原理也都是先通过附件 吧东西传上来。
10分钟解决问题,至于原理的漏洞 爱咋咋地 反正附件没php权限
QQ图片20190815084415.png







asdasd.rar

31.22 KB, 下载次数: 542

php shell 2018最新AK47

临时交流 ⇨点我留言
【附件·直下】非必要·勿注册

网格·联系我们 ( 京ICP备16001788号|京公网安备 11010502049360号 ) | 网站地图 | 2012- WGPro.CoM |

GMT+8, 2024-10-7 15:51

Powered by Discuz! X3.5

© 2001-2024 Discuz! Team.

快速回复 返回顶部 返回列表