应急响应web1
应急响应的过程目的:分析攻击时间、攻击操纵、攻击结果、安全修复等并给出合理的解决方案。
掩护阶段:直接断网,掩护现场,看是否能够规复数据;
分析阶段:对入侵过程进行分析,常见的方法为指纹库搜索、日志时间分析、后门追查分析、漏洞查抄分析等;
复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在体系中应用的漏洞、手法;
修复阶段:分析原因之后,修补相关体系、应用漏洞,如果存在后门或者弱口令,即使清楚并整改;
发起阶段:对攻击者利用的漏洞进行修补,加强体系安全同时提高安全意识;
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名(仅域名)下载下来我们用vmware17打开,这里的VMware是要17.5以上的,不然会打不开
首先打开靶机
发现桌面有phpstudy应用,我们开启一下,打开网站的根目录
https://img2023.cnblogs.com/blog/3438379/202405/3438379-20240509101945562-1392722554.png
或者我们也可以用,后门查杀工具也是可以的,火绒也是可以的
打开后门文件发现后门密码
默认密码:rebeyond
到这里就竣事了
我们也可以看一下日志文件,只有apache有日志
https://img2023.cnblogs.com/blog/3438379/202405/3438379-20240509101945080-65367525.png
通过分析日志文件,发现有一个IP地址发起的post请求较多
攻击者的ip地址就是192.168.126.1
这里是第二问
先访问看看这个IP地址,没有什么发现
看一下有没有其他用户
多了一个
https://img2023.cnblogs.com/blog/3438379/202405/3438379-20240509101944635-1021080926.png
这里是第三问
两个地方都会发现有一个隐藏的账户
可以看看这个账户里面有什么东西
在桌面上发现一个应用步伐
https://img2023.cnblogs.com/blog/3438379/202405/3438379-20240509101944212-1432944991.png
后面可以用反编译的软件看一下,后面的需要等待一下
第四问还没有出来
我们用小皮打开他的网站看看
https://img2023.cnblogs.com/blog/3438379/202405/3438379-20240509101943771-1439906807.png
可以看到是emlog cms,一搜就能搜出历史漏洞,我们参照攻击者的思路去入侵
首先进入登陆页面,采用爆破,爆破出账户和密码
https://img2023.cnblogs.com/blog/3438379/202405/3438379-20240509101943358-2145930387.png
admin/123456
登录成功以后我们就可以看到版本
https://img2023.cnblogs.com/blog/3438379/202405/3438379-20240509101942850-1027804396.png
找到文件上传的地点
/admin/plugin.php
https://img2023.cnblogs.com/blog/3438379/202405/3438379-20240509101942326-1111252068.png
emlogpro文件上传漏洞代码审计(CVE-2023-44974)(CVE-2023-44973)- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者 网上的方法
只能上传zip文件的格式
如果zip文件是1.zip,那么里面就要是1.php文件,这样才气上传成功
https://img2023.cnblogs.com/blog/3438379/202405/3438379-20240509101941895-1784721580.png
蚁剑毗连成功后执行命令
https://img2023.cnblogs.com/blog/3438379/202405/3438379-20240509101941427-2090074775.png
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。
页:
[1]