大家好,昨天晚上一位微信昵称“@eval($_REQUEST['a']);”的用户关注了我的公众号。当我看到这段PHP一句话的时候,我意识到这应该就是一次明确针对我本人,精准的说是通过微信公众号平台这个跳板针对我本人打开微信公众号后台页面这台机器的漏洞探测行为,说白了就是在找我机器的RCE漏洞。1. 针对性并非偶然:独特Payload:@eval($_REQUEST['a']);这个字符串是高度特征化的,并非随机的昵称。 这明显是针对特定漏洞的探测,而不是随机用户随意起的名字。有目标指向性:攻击者使用这个特定的字符串,通常表示他们预先知道或怀疑某个系统存在 eval($_REQUEST['a']) 的漏洞。我觉得还是怀疑多一些。
精准定位:将这个字符串作为微信昵称,并且关注再说安全公众号,进一步说明其目标明确,并非盲目扫描,而是有特定的攻击目标。
2. 微信公众号后台作为跳板:后台服务器暴露:如果我的公众号后台部署在一个对外暴露的服务器上,那么这个服务器本身就可能成为攻击者的目标。信息传递链:攻击者利用微信平台将恶意昵称传递到我的公众号后台服务器。如果后台系统没有对用户昵称进行充分的安全检查(例如,直接显示或者存储在数据库里,再从数据库读取并执行),则会触发潜在漏洞。间接攻击:他们并不是直接攻击我的机器,而是利用微信公众号这个平台,间接攻击我机器上运行的某些处理程序。隐私泄露的风险:这也暗示着攻击者有可能已经在其他地方获取到了关于我的公众号及其后台服务的一些信息。
3. 寻找RCE漏洞:代码执行漏洞:eval() 函数直接执行代码,是典型的远程代码执行 (RCE) 漏洞。控制服务器:攻击者的最终目的是控制我的机器,进而可能窃取数据、进行恶意操作等。持久化访问:成功利用 RCE 漏洞后,攻击者还会试图建立后门,方便以后再次访问和利用。
4. 对你的特殊关注:应该就是定向攻击:虽然说大部分情况下是探测,另外就是1月18号这天我一个不怎么知名的文章为什么会有那么多莫名其妙的点赞呢?我猜测这应该是在整体打配合啊!有预谋的攻击,有可能已经通过其他途径 (如社工) 收集到了我的信息,并选择了我本人作为特定攻击目标。
总结:
这是一个针对我本人或我的公众号的,试图探测 RCE 漏洞的定向攻击,且利用了微信公众号作为跳板,来访问我的机器后端。这不仅是一种漏洞扫描,更是一种高度针对性的攻击预兆。
另外还有一点就是攻击者通常不会将payload直接暴露在公共区域,而是使用更加隐蔽和高级的探测方式。我估计是确实找不到好的入口点!
关注我,兄弟们,这一次是针对我本人的真实的网络攻击...
如果您觉得文章对您有所帮助,请您点赞+关注!
还没有评论,来说两句吧...