记一次应急响应练习(windows)

记一次应急响应练习(windows)

windows:
1.请提交攻击者攻击成功的第一时间,格式:YY:MM:DD hh:mm:ss

答:2023/04/29:22:44:32

思路: 看见桌面的小皮面板,进入小皮的安装目录。发现apache和nginx两个服务器。发别查看日志记录。发现apache访问日志大小为0;那应该是用nginx当做中间件部署的web服务。查看nginx的日志记录即可。

image

日志中的192.168.141.78都是有的没的的记录。攻击者是192.168.141.55 从22:44:02开始扫描网站

image

从22:44:32成功进入manage管理页面。因此确定了首次攻击成功的时间点。

image

2.请提交攻击者的浏览器版本

答: Firefox/110.0

思路: 如上图,UA头中很明显会记录这些。

3.请提交攻击者目录扫描所使用的工具名称

答: Fuzz Faster U Fool

思路: 如上图,在大量的404爆破记录中,留下了工具的指纹。就是这个嘛

image

4.找到攻击者写入的恶意后门文件,提交文件名(完整路径)

答:C:\phpstudy_pro\WWW.x.php

思路: 日志中发现system命令执行。查看对应文件发现为php一句话木马

image

image

5.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)

答: C:\phpstudy_pro\WWW\usr\themes\default\post.php

思路:在这个/.x.php突兀出现之前的第一个POST行为。.x.php从何而来。网站自身不可能存在,那就是攻击者创建的。那不能凭空产生啊,攻击者一定是提交了什么数据给服务器导致修改了某个文件才导致了.x.php文件的出现。因此这个POST行为值得怀疑。分析这个POST行为涉及到的文件。然后一个个打开查看。最后在发现在post.php文件中发现了恶意代码。

image

这段代码的目的是创建一个名为 .x.php​ 的文件,其中包含解码后的 base64 数据,这段数据是一段 PHP 代码,通过 eval​ 执行用户从请求中提供的参数 $_REQUEST['x']​。

image

解码过后正是.x.php文件中的内容

image

6.请提交内存中可疑进程的PID

答:1660

思路:并未在主机上发现360的加速球球,360图标也没有,内存使用率才0.3MB。不现实吧。

imageimage

文件的安装位置,文件大小都充分证明它不是一个正经程序。

image

7.可疑进程的远程IP地址

答: 52.52.52.52

思路:资源监视器中查看连接情况即可。

image

8.请提交攻击者执行过几次修改文件访问权限的命令

答: 两次

思路: 分析日志看到请求路径中的命令执行函数。前两次在whoami,第三次在查看系统用户。

第四次和第五次的taskown(这个命令用于更改文件或目录的所有者。更具体地说,它允许你将文件或目录的所有权从系统管理员(或其他用户)更改为当前登录用户)cacls(修改访问控制列表ACL) 是windows上的修改文件访问权限的命令

image

9.请指出可疑进程采用的自动启动的方式

答: gpedit.msc -> 计算机配置 -> windows设置 -> 脚本(启动/关机) -> 启动选项中 -> 添加了c:\windows\x.bat这个批处理启动了可疑进程。把x.bat后缀改成txt。记事本打开查看就能看到内容了。

思路: 熟悉如何在windows上设置自启动任务,查看组策略分析即可

image

10.分析攻击者的行为与流程

1.攻击者应该是通过网站弱口令直接进入了后台管理页面

2.通过对post.php文件的追加了恶意代码后创建了.x.php后门文件

3.然后使用webshell管理工具连接后门,拿到服务器权限

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:/a/272125.html

如若内容造成侵权/违法违规/事实不符,请联系我们进行投诉反馈qq邮箱809451989@qq.com,一经查实,立即删除!

相关文章

nodejs进阶

文章目录 写在前面一、dependencies、devDependencies和peerDependencies区别:二、需要牢记的npm命令2.1 npm init2.2 npm config list2.3 npm配置镜像源 三、npm install 的原理四、package-lock.json的作用五、npm run 的原理六、npx6.1 npx是什么6.2 npx的优势6.…

一个卖美妆的 一个月招了数十万代理!月销售额破亿 你敢相信吗?

商业模式永不过时 大家好,我是吴军,一家软件公司的产品经理 今天我们来聊一下这个纪炫商城 其实,说这个纪炫商城之前,我想跟各位企业家老板聊几句实在话 作为公司两百多号技术的,一个拥有五年软件开发经验的产品经理…

深入探讨Java反射:解析机制与应用场景

当谈及Java编程语言的强大功能时,反射(Reflection)是一个不可忽视的特性。反射允许程序在运行时检查和操作其自身的结构,这为开发者提供了一种动态获取信息和执行操作的途径。在本篇博客中,我们将深入探讨Java反射的原…

分支限界法求解01背包(优先队列)【java】

实验内容:运用分支限界法解决0-1背包问题 实验目的:分支限界法按广度优先策略遍历问题的解空间树,在遍历过程中,对已经处理的每一个结点根据限界函数估算目标函数的可能取值,从中选取使目标函数取得极值的结点优先进行广度忧先搜…

day42 1226

作业1&#xff1a; #include <iostream>using namespace std;namespace myspace {string str; }int length(string str) {//char *p &str.at(0);const char *p str.data();int count 0;while (*p ! 0) {p;count;}return count; } int main() {getline(cin,myspac…

元素隐式具有 “any“ 类型,因为类型为 “string“ 的表达式不能用于索引类型 “typeof

报错展示 解决办法 Object.keys(directives).forEach(k > {app.directive(k, directives[k as keyof typeof directives]) })

工具系列:TensorFlow决策森林_(3)使用dtreeviz可视化

文章目录 介绍设置安装 TF-DF 和 dtreeviz导入库 可视化分类树加载、清洗和准备数据分割训练/测试集并训练模型训练一个随机森林分类器显示决策树检查叶节点统计信息决策树如何对实例进行分类特征空间划分 可视化回归树加载、清洗和准备数据分割训练/测试集并训练模型训练一个随…

【linux】线程概念

线程概念 1.储备知识1.1再谈页表 2.线程概念2.1如何理解多线程2.2如何证明2.3什么是线程2.4线程的优点2.4线程的缺点2.5线程异常2.6进程vs线程 喜欢的点赞&#xff0c;收藏&#xff0c;关注一下把&#xff01; 1.储备知识 1.1再谈页表 在上一篇博客说过&#xff0c;页表除了用…

Oracle查询重复数据取第二行,好用来删除重复数据

Oracle查询重复数据取第二行&#xff0c;好用来删除重复数据 SELECT * FROM ( SELECT e.* , ROW_NUMBER() over(PARTITION BY product_category_id,model_size_id ORDER BY product_category_id,model_size_id) rn FROM equ_check_rules e ) s WHERE rn 2;

鸿蒙开发之图片选择器

一、使用 系统的图片选择器真的非常友好&#xff0c;这个绝对要赞一下。 pickPhotos() { //初始化一个photopicker let photoPicker new picker.PhotoViewPicker()//maxSelectNumber最多选择多少张&#xff08;默认值为50&#xff0c;最大值为500&#xff09; //MIMEType 选…

Spring-1-Spring中引入loC和DI

控制反转和依赖注入 IoC 核心是 DI 旨在提供一种更简单的机制来设置组件依赖项&#xff0c;并在整个生命周期中管理这些依赖项 需要某些依赖项的组件通常被称为依赖对象&#xff0c;或者在 IoC 的情况下被称为目标对象 通常&#xff0c; IoC可以分解为两种子类型 依赖注入和依…

Isaac Sim 仿真机器人urdf文件导入

本教程展示如何在 Omniverse Isaac Sim 中导入 urdf 一. 使用内置插件导入urdf 安装urdf 插件 方法是转到“window”->“Extensions” 搜索框中输入urdf, 并启用 通过转至Isaac Utils -> Workflows -> URDF Importer菜单来访问 urdf 扩展。 表格中的 1,2,3 对应着…

从零实现一套低代码(保姆级教程) --- 【6】在项目中使用redux状态管理

摘要 在上一篇文章中的末尾&#xff0c;我们也完成了Input组件的属性面板配置。现在我们的低代码项目已经小有成就了。但是后面的内容还是不少的。 如果你是第一次看到这篇文章&#xff0c;那么请移步到第一节&#xff1a; 从零实现一套低代码&#xff08;保姆级教程&#xf…

抖店只能做和营业执照对照的产品吗?开店基础教程,新手可收藏!

我是王路飞。 抖店的营业执照有多重要呢&#xff1f;关系到你店铺的类型、类目和产品。 尤其是适合新手做的个体店&#xff0c;不涉及对公账户&#xff0c;货款可以直接提现到你的私人银行卡里&#xff0c;保证金也只有企业店铺的一半。 &#xff08;只需要身份证就能开通的…

Python入门之数据结构篇

文章目录 准备工作一、数组1.1 简单使用1.2 数组函数1.3 数组方法1.4 列表推导1.5 数组切片 二、元组&#xff08;tup&#xff09;2.1 简单使用2.2 元组函数 三、字典&#xff08;Dictionary&#xff09;3.1 简单使用3.2 字典函数&#xff1a;关于Python技术储备一、Python所有…

Vue.js学习笔记(1)——Visual Studio Code搭建Vue.js框架

1 开通高德地图API服务 1、进入高德地图API官网&#xff08;https://lbs.amap.com/&#xff09;&#xff1a; 2、注册登录。 3、进入控制台。 4、点击“应用管理”&#xff0c;点击“我的应用”&#xff0c;创建新应用。 5、添加Key&#xff0c;服务平台选择“Web端&#xff…

MMDetection中的数据处理

CustomDataset 代码路径&#xff1a;mmdet/datasets/custom.py mmdet中的CustomDataset继承自torch的Dataset&#xff0c;因此&#xff0c;对应的需要实现3个虚函数&#xff0c;接下来我们首先看看这3个重要函数的实现。 构造函数 CLASSES None # static变量def __init__…

关于勒索软件盛行,LockBit网络攻击者气焰嚣张的动态情报

一、基本内容 在过去一周内&#xff0c;LockBit团队颇为高调&#xff0c;他们对关键组织、政府和企业发动了一系列的攻击。该勒索软件团队发动的攻击数量远远超过其他所有的勒索团队&#xff0c;CSEM事件为近期勒索事件画上了句号 二、相关发声情况 2023年8月30日&#xff0…

数据库原理知识点清晰总结

数据库基础知识 数据库系统结构 数据库管理系统 数据库设计 关系数据库 关系数据库标准语言SQL 关系数据库规范化理论 数据库保护技术 视图 存储过程 触发器 数据的锁定