文章目录
前言
一、应急相应
1、配景
2、webshell查杀
3、日志排查
1)apache日志
2)nginx日志
3)ftp日志
4、潜伏账户
5、文件筛选
二、漏洞复现
总结
前言
靶场泉源:知攻善防实验室
一、应急相应
1、配景
小李在某单元驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全装备有告警,于是立即停掉了呆板开始排查。
这是他的服务器系统,请你找出以下内容,并作为通关条件:
账户密码:Administrator/Zgsf@qq.com
- 1.攻击者的IP地址(两个)?
- 2.攻击者的webshell文件名?
- 3.攻击者的webshell密码?
- 4.攻击者的伪QQ号?
- 5.攻击者的伪服务器IP地址?
- 6.攻击者的服务器端口?
- 7.攻击者是如何入侵的(选择题)?
- 8.攻击者的隐藏用户名?
进入服务器开启phpstudy,并开启相干服务
使用D盾直接先查杀网站根目录看看
找到了后门文件:system.php,查察一下文件,得到后门密码:hack6618
办理第2,3题
3、日志排查
1)apache日志
可以看到有大量的get哀求各种目录,很明显是在做目录扫描,我们可以看到攻击者的IP:192.168.126.135(此中一个)
然后观察到它后面直接通过POST哀求访问到了后门文件,但是这里没有文件上传的记载,可以猜测攻击者不是从这里取得服务器权限的。
2)nginx日志
没有日志记载,因为是apache的网站
3)ftp日志
ftp服务日志有很多内容记载,可以观察到有很多登岸失败的日志,很明显是在做口令暴力破解,攻击者IP也是一样的
我们直接搜索后门文件,看看是不是通过ftp服务上传的
可以看到这里有成功上传后门文件的日志,说明攻击者成功爆破了ftp服务的账户密码,然后上传了后门文件
经典弱口令
现在办理了第7,1题(部门)
4、潜伏账户
可以直接借助D盾工具查察
潜伏账户:hack887
通过克隆管理员账号无法通过控制面板和盘算机管理查察到,只能到注册表里看
同时可以查一下安整日志有无远程登岸情况
有查察到有远程登岸成功的日志,并且IP为:192.168.126.129
问题1,8办理
5、文件筛选
作者提到攻击者的伪QQ号和服务器IP,端口类信息,但是由于这是本地情况,肯定没有ip外联,大概还存在什么进程运行之类的。
我们可以查一下攻击者上传后门后的那一段时间新增的文件,进行排查,后门上传时间是2024-2-29 13:00左右。
使用everything工具方便一点
留意到13:45分左右创建了tencent目录和frp压缩包,很明显tencent可能和QQ相干,frp是内网穿透工具,配置文件应该会存在攻击者的vps和端口。对应查察一下
777888999321应该是伪QQ号
frp配置文件中可以看到攻击者服务器地址和端口信息
IP:256.256.66.88,端口:65536
解题完成
二、漏洞复现
这个靶机就不复现了,很简单可以使用kali的msf中的ftp暴力破解模块大概hydra去爆破服务器的ftp账户密码,成功后就直接可以上传后门文件,就取得服务器权限了。
总结
因为是本地靶机的缘故起因,以是省去了检查外联ip和异常进程等过程,以及因为有标题指引也没有检查启动项和操持使命等重要功能,真实应急时都应该做充实检查。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
