之前学习了很多理论知识与操作流程，但未进行实际验证，未避免"纸上谈兵"这一哲学问题出现，故今天“实战”验证下前期所学，不敢奢求太多，此文对伙伴们有稍许即可，更盼望伙伴可以引导与指正，共同学习、共同进步，咳咳，闲聊到此，开始步入正题：

了解敌人

欲先制敌,必先惑敌

主流Web攻击目的及现象

一般来说，没有无缘无故的攻击，攻击总是伴随着相关的目的性和攻击现象
1.常见的主流Web攻击目的分类
* 数据窃取
数据窃取是指黑客一般通过获取相关数据进行进一步的利用变现
案例：雅虎用户数据被窃取

* 网页篡改
网页篡改是指对网站网页进行篡改/对重要网站植入暗链SEO。
案例：某网站被挂“黑页”

* 恶意软件
恶意软件是指通过网站的安全漏洞，植入勒索病毒等，让受害者支付相关比特币或者其他的虚拟货币进行解密，以及利用漏洞植入挖矿程序，让受害者服务器/电脑成为矿机以挖取相关的虚拟货币
案例：勒索病毒

2.常见主流Web攻击现象
当网站遭遇了Web 攻击，通常会出现以下异常现象。
* 数据异常
数据异常是指通过各种手段发现数据外流、出现各种不合法数据以及网站流量异常伴随着大量攻击报文等。
例如：使用入侵检测系统检测异常数据
* 系统异常
系统异常是指服务器出现异常、异常网页、异常账号、异常端口等。
案例：系统登录异常

* 系统CPU
根据CPU异常使用率，分析可疑进程
案例：使用procexp进行分析

* 网络数据异常
流量异常是指流量浮动明显与往常不一致，或者夹杂着异常攻击，出现这种情况很有可能已被病毒感染
案例：防火墙提示服务器发出异常流量可能感染病毒

* 告警异常
使用某些防护设备，当检测到攻击行为时，会进行告警操作，若出现告警情况，很有可能已被攻击，这个时候就需要仔细排查下了，但也可能是误报。
案例：攻击告警

常见Web攻击入侵方式

• 命令执行
  应用有时需要调用一些执行系统命令的函数，如PHP中的system、exec、shell_exec、passthru、popen、proc_popen等，当用户能控制这些函数的参数时，就可以将恶意系统命令拼接到正常命令中，从而造成命令执行攻击，这就是命令执行漏洞。
• 组件漏洞
  例如：WebLogic WLS组件中存在远程代码执行漏洞，可以构造请求对运行WebLogic中间件的主机进行攻击，
• 反序列化
  通过构造恶意输入，让反序列化产生非预期的对象，非预期的对象在产生过程中就有可能带来任意代码执行。
• 注入攻击
  例如Sql注入通过注入点列出数据库里面管理员的帐号和密码信息，然后猜解出网站的后台地址，然后用帐号和密码登录进去找到文件上传的地方，把ASP木马上传上去，获得一个网站的WEBSHELL。
• 社工攻击
  人为因素才是安全的软肋。很多企业、公司在信息安全上投入大量的资金，最终导致数据泄露的原因，往往却是发生在人本身。你们可能永远都想象不到，对于黑客们来说，通过一个用户名、一串数字、一串英文代码，社会工程师就可以通过这么几条的线索，通过社工攻击手段，加以筛选、整理，就能把你的所有个人情况信息、家庭状况、兴趣爱好、婚姻状况、你在网上留下的一切痕迹等个人信息全部掌握得一清二楚。虽然这个可能是最不起眼，而且还是最麻烦的方法。一种无需依托任何黑客软件，更注重研究人性弱点的黑客手法正在兴起，这就是社会工程学黑客技术。
• 旁站攻击
  这种技术是通过IP绑定域名查询的功能查出服务器上有多少网站，然后通过一些薄弱的网站实施入侵，拿到权限之后转而控制服务器的其它网站。
• 上传漏洞
  利用上传功能的控制不足或者处理缺陷，或解析漏洞，让攻击者越权上传恶意文件，进行攻击行为。
• 信息泄露
  例如泄露用户名、密码、内部人员信息等等，为进一步攻击做准备工作
• 劫持攻击
• 跨站攻击
  例如利用xss漏洞进行下载病毒、木马，并进行窃取账号密码操作
• 溢出攻击
  Web服务器没有对用户提交的超长请求没有进行合适的处理，这种请求可能包括超长URL，超长HTTP Header域，或者是其它超长的数据。这种漏洞可能导致执行任意命令或者是拒绝服务，这一般取决于构造的数据。
• 拒绝服务
  拒绝服务产生的原因多种多样，主要包括超长URL，特殊目录，超长HTTP Header域，畸形HTTP Header域或者是DOS设备文件等。由于Web服务器在处理这些特殊请求时不知所措或者是处理方式不当，因此出错终止或挂起。简单来说就是不想让你好过，我拿不到“权限”，你也别想用。

模拟演练

准备完毕，开始演练

工具准备

• Windows Sysinternals
  Sysinternals工具是一套用于微软Windows平台，免费的高级管理、诊断和排错工具。
  https://docs.microsoft.com/zh-cn/sysinternals/

事件一

张三在用电脑看电影，突然屏幕锁定了，开始以为是无操作，但和他一起看电影的李四感觉不对劲，

这看的好好的，什么也没干怎么就锁屏了呢，还显示已登录，让输入密码。因前一阵老师讲了些计算机安全知识，李四想这个症状有点像被远程登录了，于是就说了句：不好坏了，被攻击了，张三惊了,来了句：mmp，我的珍藏啊，想到这里，就开始以下操作：
* 拔掉网线
防止被进一步攻击
* 输入密码
可以挤掉攻击者的远程登录状态（若网络未断开，并第一时间发现，攻击方还未进行下一步操作的时候），例如下图所示：

输入密码后，进入学习资料文件夹，发现珍藏还在，放心了，但还是很害怕，于是就对李四说：四哥能不能帮我看看是咋回事，要是被攻击了，看看能不能找到这个憨批，他到底要干啥啊，还好我的珍藏还在，四哥的意识是真NB
李四回：好，那我试试，正好检验下前阵子所学的知识，看看是不是被攻击了，要是被攻击了，高低要找到这个憨批，不行的话百度下学习下新的知识，实战不行咱俩问问"老师"。
说着接过键盘鼠标，按Ctrl R 输入cmd打开了cmd窗口。

* 检测是否有可疑账号存在
net user

哎正常啊，不行，安全第一，我还是注册表查看下
regit.exe

修改SAM文件夹权限，已满足当前用户查询要求，
注意：查询完毕后，不要忘记恢复之前的权限设置(因SAM文件夹的特殊性，注册表备份恢复效果不是很好)

重新启动注册表编辑器，已让权限设置生效。
小技巧：按方向键↑，调用之前的命令

看的一个带特殊符合的账号，因之前学习的时候查询无这个账号，还真被攻击了，都创建账号了，这攻击者手速够快啊，一看就是单身多年。

* 日志分析
知道被攻击后，分析系统日志，验证攻击者攻击方式，并查询其IP地址
cmd窗口输入eventvwr.msc(输入eventvwr.exe也可以打开)，打开事件查看器

事件ID:4648,攻击者尝试登录，查询其访问IP

事件ID:4624,攻击者登录成功，登录用户:study 登录类型：10 登录IP:192.168.50.1
小知识：
登录类型10：远程交互（RemoteInteractive）
当你通过终端服务、远程桌面或远程协助访问计算机时，Windows将记为类型10，以便与真正的控制台登录相区别，注意XP之前的版本不支持这种登录类型，比如Windows2000仍然会把终端服务登录记为类型2。

事件ID:4672,申请了特殊权限

事件ID:4620,创建用户帐户：study$

事件ID:4732,study$用户被添加到安全本地组

事件ID:4648,使用身份凭据在尝试登录

* 总结：
2020-08-31 9:46:14 ：攻击者进行远程登录，IP:192.168.50.1
2020-08-31 9:46:14 ：攻击者申请特殊权限
2020-08-31 9:46:45 ：攻击者创建隐藏账户
2020-08-31 9:46:45 ：用户被添加到安全本地组
2020-08-31 9:48:26 ：夺回控制权限

相关推荐: 通过Hijack DLL绕过AMSI

译文声明 本文是翻译文章，文章原作者 Philippe Vogler，文章来源：https://sensepost.com 原文地址：https://sensepost.com/blog/2020/resurrecting-an-old-amsi-bypass…