从溯源到拿下攻击者服务器

  • A+
所属分类:安全文章

起因:

朋友突然告诉我他的服务器被冲了,让我帮忙看下:

从溯源到拿下攻击者服务器

分析源文件:

首先在服务器发现一个php文件,非常可疑。可疑到什么程度?朋友的站架设在bbs里面,但是在html目录下存在一个php文件:

从溯源到拿下攻击者服务器

进入后查看:

从溯源到拿下攻击者服务器

打开后发现是小透明师傅之前的反序列化马:

从溯源到拿下攻击者服务器

具体链接如下:

http://www.f4ckweb.top/index.php/archives/7/

并且我觉得我朋友还有点弱智,他把他的ssh账号密码放到了网站根目录下面:

从溯源到拿下攻击者服务器

不被搞才怪,查看历史:

从溯源到拿下攻击者服务器

开始反制:

目标站点打开后:

从溯源到拿下攻击者服务器

fofa一顿搜索后发现目标存在宝塔面板:

从溯源到拿下攻击者服务器

思索了一会得出结论,不好搞。只能从web入手,先收集指纹,运气比较好直接从cookie里知道目标指纹信息了:

从溯源到拿下攻击者服务器

onethink默认后台是/admin.php,但是这个站点把后台地址改掉了:

从溯源到拿下攻击者服务器

只能通过日志进行判断,构造url:/Runtime/Logs/Admin/20_12_07.log

从溯源到拿下攻击者服务器

打开后台地址:

从溯源到拿下攻击者服务器

登录框存在注入:

从溯源到拿下攻击者服务器

构造好payload:

username[]=IN (‘a’) union select 1,2,’’,4,5,6,7,8,9,10,11,12 – &username[]=111&password=&verify=90
成功绕过登录:

从溯源到拿下攻击者服务器

得还是个杀猪盘,能控制开奖:

从溯源到拿下攻击者服务器

找到目标创建插件的地方,得到目标后台Getshell:

从溯源到拿下攻击者服务器

成功getshell:

从溯源到拿下攻击者服务器

后渗透:

使用Restorator 2018 修改资源后得到木马:

从溯源到拿下攻击者服务器

在webshell上部署flash弹窗:

从溯源到拿下攻击者服务器

登陆后会弹出提示:

从溯源到拿下攻击者服务器

一觉睡起来得时候目标已经上线几次并且掉线了。。。

从溯源到拿下攻击者服务器

作者:YuanXi001

文章来源:https://blog.csdn.net/YuanXi001




关注公众号:HACK之道

从溯源到拿下攻击者服务器
如文章对你有帮助,请支持点下“赞”“在看”

本文始发于微信公众号(HACK之道):从溯源到拿下攻击者服务器

发表评论

:?: :razz: :sad: :evil: :!: :smile: :oops: :grin: :eek: :shock: :???: :cool: :lol: :mad: :twisted: :roll: :wink: :idea: :arrow: :neutral: :cry: :mrgreen: