应急响应练习2

目录

1. 请提交攻击者的ip与系统版本

2. 攻击者通过某个组件漏洞获得服务器权限,请提交该组件的名称

3. 请提交攻击者首次攻击成功的时间

4. 请提交攻击者上传的webshell文件绝对路径

5. 请提交攻击者使用的webshell管理工具

6. 攻击者进一步留下的免杀的webshell在网站中,请提交该shell的原文内容

7. 攻击者修改了某文件,导致webshell删除后,攻击者仍然拥有服务器权限,请提交该文件的绝对路径

8. 请提交网站服务连接数据库使用的数据库账号和密码

9. 请提交攻击者在数据库中留下的信息,格式为:flag{...}

10. 请分析攻击者的入侵行为与过程


练习环境:  Linux localhost 3.10.0-1160.el7.x86_64

1. 请提交攻击者的ip与系统版本

到文件根目录看到有www目录

查看www的web日志

www/wwwlogs/172.16.24.128-access_log

(如果实在是找不到web日志就通过find查找find -name '*access*log*' -type f)

cat ./172.16.24.128-access_log

单独筛选出POST数据

cat www/wwwlogs/172.16.24.128-access_log | grep POST

这里能看到172.16.24.1这个ip多次访问tt1.php这个文件,很可疑

单独查找tt1.php

cat www/wwwlogs/172.16.24.128-access_log | grep tt1.php

这里能看到黑客执行了phpinfo()获取了网站配置信息

黑客ip:172.16.24.1

系统:Windows NT 10.0; Win64; x64

2. 攻击者通过某个组件漏洞获得服务器权限,请提交该组件的名称

这里先略过,先把web日志分析完再来做

这里先去看用户配置文件passwd里的ront用户

cat etc/passwd | grep 0:0

这里发现除了root用户还有一个www用户和msf用户有root权限

查看所有用户登录时间

没什么收获

这里去看home目录下的用户

这里有www用户的目录

查看www用户的历史命令记录

这里   .bash_history是隐藏文件

这里发现www用户执行过cve-2021-3156漏洞的python文件

似乎是系统漏洞

还执行过 ./suggester.sh来进行信息搜集

因为比赛的时候是没有网的所以这里不去搜索这个文件是哪个组件的漏洞

现在去查系统日志文件

/var/log/message 内核消息及各种应用程序的公共日志信息,包括启动、I/O错误、 网络错误、

/var/log/cron Crond周期性计划任务产生的时间信息

/var/log/dmesg 弓|导过程中的各种时间信息

/var/log/ maillog 进入或发出系统的电子邮件活动

/var/log/lastlog 每个用户最近的登录事件

/var/log/secure 用户认证相关的安全事件信息

/var/log/wtmp 每个用户登录注销及系统启动和停机事件

/var/log/btmp 失败的、错误的登录尝试及验证事件

这里先看secure文件

当看到www用户时发现用户进行了提权,  使用的是sudo组件的漏洞

组件:  sudo

3. 请提交攻击者首次攻击成功的时间

继续分析

这里能明显看到,黑客上传成功后门以后先是访问了一下是否存在,后续便通过工具连接

首次攻击成功实践:[04/Oct/2023:22:30:18 +0800]

4. 请提交攻击者上传的webshell文件绝对路径

全局搜索tt1.php

find / -name 'tt1.php' -type f

文件绝对路径:/www/wwwroot/172.16.24.128/wp-content/plugins/wp-file-manager/lib/files/tt1.php

5. 请提交攻击者使用的webshell管理工具

从后门文件来看看不出是使用的那种webshell管理工具

那么只能从webshell管理的流量上下手

继续分析web日志

数据包流量特征:

中国菜刀:

1,请求包中:ua头为百度,火狐
2,请求体中存在eavl,base64等特征字符
3,请求体中传递的payload为base64编码

蚂蚁宝剑:
使用普通的一句话都存在以下特征:
每个请求体都存在@ini_set(“display_errors”, “0”);@set_time_limit(0)开头。并且后面存在base64等字符
响应包的结果返回格式为:随机数    响应内容   随机数

冰蝎2.0

第一阶段请求中返回包状态码为200,返回内容必定是16位的密钥

请求包存在:Accept: text/html, image/gif, image/jpeg, ; q=.2, /; q=.2

冰蝎3.0

请求包中content-length 为5740或5720(可能会根据Java版本而改变)
每一个请求头中存在
Pragma: no-cache,Cache-Control: no-cache
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,image/apng,/*;q=0.8,application/signed-exchange;v=b3;q=0.9

哥斯拉

所有请求中Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/webp,/;q=0.8

从整体来看像是菜刀

shell管理工具:菜刀

到这里以后回到第二步

6. 攻击者进一步留下的免杀的webshell在网站中,请提交该shell的原文内容

这里我还是老样子全局搜索所有可能为后门的文件

cat `find / -name '*.php' -type f` | grep eval

这里我一般会找三个后门文件后缀 asp  jsp  php,最常见的就是php所以首先查找

第二筛选内容也是后门文件的特征assert  eval  system之类的函数

当看到这里时找到免杀后门文件

这里的后门文件先用a接受json加密后的命令,再用data接受解密后的,再输出执行后的data

通过内容特征找这个文件

find / -name '*.php' -type f | xargs grep 'cdp'

后门免杀文件路径:/www/wwwroot/172.16.24.128/wp-admin/user/passthru.php

7. 攻击者修改了某文件,导致webshell删除后,攻击者仍然拥有服务器权限,请提交该文件的绝对路径

到这里主要需要分析的就是自启动项目还有就是恶意文件了

先看网络有没有外联其他ip

查看进程ps -aux

这里发现了反弹shell

继续查看此进程详情

这里并没有任何信息,  猜测是写在开机自启动或者定时任务里的命令

查看定时任务列表

没有定时任务,  手动去查

cat /etc/init.d/rc.local        cat /etc/rc.local       ls -alt /etc/init.d
查看init.d文件夹下的所有文件的详细信息

并没有什么有用信息

查看定时任务

发现反弹shell代码

路径:  /etc/crontab

8. 请提交网站服务连接数据库使用的数据库账号和密码

这里去找网站的配置文件,  配置文件里有账号密码

找不到的话可以搜索www目录下的config文件

账号:   sql172_16_24_12

密码:   sqlpass

9. 请提交攻击者在数据库中留下的信息,格式为:flag{...}

登录mysql

使用在配置文件看到的数据库

查表

查数据

flag{th1s_ls_fl99999g1}

10. 请分析攻击者的入侵行为与过程

  1. 通过web端漏洞上传后门文件
  2. 再通过后门文件上传免杀webshell
  3. 通过系统漏洞提权
  4. 为了保持权限在定时文件中加入反弹shell

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/139367.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

AGV与AMR的区别

如今,市面上最受关注的两类工业移动机器人分别是AGV和AMR。但大众对于两者的区别还是不甚了解,因此小编将通过这篇文章为大家详细解释。 一、概念阐述 【AGV 】 AGV (Automated Guided Vehicle) 即自动导引运输车,可指基于各种定位导航技术…

2023数据结构期中测验-2023秋-计算机+未来网络专业

数据结构期中测验 选择题函数题6-1 求链式表的表长6-2 逆序数据建立链表6-3 删除单链表偶数节点6-4 求二叉树高度6-5 先序输出叶结点 为了防止不自觉的朝答案看去,特意用了明黄色字体,如下查看答案: 选择题 2-1 下述程序段的时间复杂度为&am…

独立站商品信息是怎么获取的呢

独立站商品信息的获取主要通过以下几种方式: 人工收集:卖家可以通过在各个电商平台、网站等渠道进行手动搜索和收集商品信息,包括商品名称、价格、描述、图片等,然后将其导入到自己的独立站中。使用采集工具:目前市面…

暖手宝上架亚马逊美国站UL499报告测试标准要求

暖手宝是运用物理及化学原理研制的自动取暖保健用品。该产品以其自动生热,有趣,实用等新颖独特的优势,深受欢迎——暖手宝具有自动取暖,理疗保健等多种功能。只要插上电源等上10分钟左右就能发热,最后一种是通过锂电池…

arcgis--消除坐标系信息的两种方法

方法一:在【目录】中右击待修改数据,选择【属性】,选择【XY坐标】选项卡,点击清楚按钮。 方法二:在【数据管理工具】-【投影与变换】-【定义投影】中清楚坐标系信息。如下:

如何用Python实现图像拼接画(把一堆小图拼成大图)

诸神缄默不语-个人CSDN博文目录 在这里的图像拼接画指的是一张大图由很多小图组成,效果就像这样: 原理:将大图拆成很多小块,每一块计算平均颜色,用平均颜色最相近的小图来替代,就可以。 直接遍历就可以&…

FFmpeg开发简介1

适逢FFmpeg6.1发布,准备深入学习下FFmpeg,将会写下系列学习记录。 在此列出主要学习资料,后续再不列,感谢这些大神的探路和分享,特别是雷神,致敬! 《FFmpeg从入门到精通》 《深入理解FFmpeg》 …

使用Nginx和uwsgi在自己的服务器上部署python的flask项目

Nginx 是一个高性能的 HTTP 和反向代理服务。其特点是占有内存少,并发能力强,事实上nginx的并发能力在同类型的网页服务器中表现较好。 Nginx 专为性能优化而开发,性能是其最重要的考量指标,实现上非常注重效率,能经受…

Structure-Inferred Bi-level Model for Underwater Image Enhancement论文小结

背景 随着水下机器人的发展,水下图像增强引起了计算机视觉界越来越多的关注。然而,由于光线在水中传播时会被散射和吸收,水下捕捉到的图像往往存在偏色和能见度低的问题。现有的方法依赖于特定的先验知识和训练数据,在缺乏结构信…

无人地磅称重系统|自助过磅 料仓联动 自助卸料

上海思伟无人地磅系统 自助过磅、 自助卸料 、料仓联动 智能、省人、安全 无人监管过磅 对地磅及其相关的所有硬件进行配置和管理; 支持红外、道闸、车牌识别、AI分析、拍照存档、LED语音播报一体机等设备; 实现稳定可靠的无人监管称重功能&#xf…

安防监控系统EasyCVR v3.4.0版本首页界面更新调整功能大汇总

安防视频监控/视频集中存储/云存储/磁盘阵列EasyCVR平台可拓展性强、视频能力灵活、部署轻快,可支持的主流标准协议有国标GB28181、RTSP/Onvif、RTMP等,以及支持厂家私有协议与SDK接入,包括海康Ehome、海大宇等设备的SDK等。平台可拓展性强、…

C# 智慧医学实验室LIS系统源码,支持预制条码和即时打印条码;支持单工/双工数据采集;支持TAT监测与分析;具备检验智能审核功能,支持自定义多级审核规则

C#医院检验信息管理系统源码,智慧医学实验室LIS系统源码,云LIS系统源码 医院检验信息管理系统,利用计算机网络技术、数据存储技术、快速处理技术,对检验科进行全方位信息化管理,使检验科达到自动化运行,信息…

vscode使用flake8设置单行最长字符限制设置失败的问题

vscode使用flake8设置单行最长字符限制设置失败的问题 问题描述解决方案 问题描述 如图所示,使用flake8单行字数过长,就会有有红色底的波浪线 一般情况下很多教程都会让你在setting.json里面设置 但是我打开我的setting.json,发现我已经进…

体验家XMPlus收购NPSMeter,稳固体验管理行业“领头羊”地位

2023年9月30日,体验家XMPlus(以下简称“体验家”)成功完成了对NPSMeter的收购。此次收购是中国客户体验管理(CEM)赛道进入快速发展以来的首单收购,标志着体验家在CEM领域的进一步扩张,旨在继续完…

智慧工地管理云平台源码,Spring Cloud +Vue+UniApp

智慧工地源码 智慧工地云平台源码 智慧建筑源码支持私有化部署,提供SaaS硬件设备运维全套服务。 互联网建筑工地,是将互联网的理念和技术引入建筑工地,从施工现场源头抓起,最大程度的收集人员、安全、环境、材料等关键业务数据&am…

【教3妹学编程-算法题】给小朋友们分糖果 II

3妹:1 8得8,2 816, 3 8妇女节… 2哥 : 3妹,在干嘛呢 3妹:双11不是过了嘛, 我看看我这个双十一买了多少钱, 省了多少钱。 2哥 : 我可是一分钱没买。 3妹:我买了不少东西, …

天津火爆python培训机构从哪里入手?

Python不仅被应用在职场办公中,还被大型互联网公司应用于大型后端开发,随着大数据领域的高速发展,这门高效的编程语言逐渐成为处理数据的最佳编程语言之一。 Python培训班优势 系统性学习:Python培训班会提供结构化的课程体系&a…

期中之后老师的福音

老师在期中考试后总是会有一大堆事情要做,批改试卷、统计分数、通知学生成绩等等。今天我就要给大家介绍一个能够减轻老师工作负担、提高工作效率的方法——查询系统 简单来说,成绩查询系统就是能够让学生方便的查询成绩,让老师快捷发布成绩的…

腾讯云优惠券如何领取?腾讯云服务器怎么买便宜?

腾讯云深知用户对价格的重视,因此在每年的618、双11、双12等大型促销活动中推出了大量优惠活动。这些优惠活动包括打折、满减、买赠等形式,让用户在购买腾讯云主机服务器时能够享受到更多的实惠。特别是在这些促销活动期间,用户可以通过领取优…

OpenAI发布会,看看GPT又有哪些大动作!2023.11.7【浓缩精华】

ChatGPT GPT-4 Turbo其它applications 北京时间11月7日OpenAI首届开发者大会 GPT-4 Turbo Context length 支持12.8万个上下文contextMore control JSON模式 可复制输出 未来:在API中查看日志Better knowledge 平台启动检索 拥有截至2023年3月的知识New modaliti…