从溯源到拿下攻击者服务器!

  • A+
所属分类:安全文章

从溯源到拿下攻击者服务器!

起因:

朋友突然告诉我他的服务器被冲了,让我帮忙看下:

 

从溯源到拿下攻击者服务器!

分析源文件:

首先在服务器发现一个php文件,非常可疑。可疑到什么程度?朋友的站架设在bbs里面,但是在html目录下存在一个php文件:

 

从溯源到拿下攻击者服务器!

进入后查看

 

从溯源到拿下攻击者服务器!

 

打开后发现是小透明师傅之前的反序列化马:

 

从溯源到拿下攻击者服务器!

 

具体链接如下:

http://www.f4ckweb.top/index.php/archives/7/

并且我觉得我朋友还有点弱智他把他的ssh账号密码放到了网站根目录下面:

 

从溯源到拿下攻击者服务器!

不被搞才怪,查看历史:

 

从溯源到拿下攻击者服务器!

 

开始反制:

目标站点打开后:

 

从溯源到拿下攻击者服务器!

 

fofa一顿搜索后发现目标存在宝塔面板:

 

从溯源到拿下攻击者服务器!

 

思索了一会得出结论,不好搞。只能从web入手,先收集指纹,运气比较好直接从cookie里知道目标指纹信息了:

 

从溯源到拿下攻击者服务器!

 

onethink默认后台是/admin.php,但是这个站点把后台地址改掉了:

 

从溯源到拿下攻击者服务器!

 

只能通过日志进行判断,构造url:/Runtime/Logs/Admin/20_12_07.log

 

从溯源到拿下攻击者服务器!

 

打开后台地址:

 

从溯源到拿下攻击者服务器!

 

登录框存在注入:

 

从溯源到拿下攻击者服务器!

 

构造好payload:

username[]=IN ('a') union select 1,2,'',4,5,6,7,8,9,10,11,12 -- &username[]=111&password=&verify=90

成功绕过登录:

从溯源到拿下攻击者服务器!

 

得还是个杀猪盘,能控制开奖:

 

从溯源到拿下攻击者服务器!

 

找到目标创建插件的地方,得到目标后台Getshell:

 

从溯源到拿下攻击者服务器!

 

成功getshell:

 

从溯源到拿下攻击者服务器!

 

后渗透:

 

使用Restorator 2018 修改资源后得到木马:

 

从溯源到拿下攻击者服务器!

 

在webshell上部署flash弹窗:

 

从溯源到拿下攻击者服务器!

 

登陆后会弹出提示:

 

从溯源到拿下攻击者服务器!

 

一觉睡起来得时候目标已经上线几次并且掉线了。。。

 

从溯源到拿下攻击者服务器!

从溯源到拿下攻击者服务器!

本文始发于微信公众号(疯猫网络):从溯源到拿下攻击者服务器!

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: