免责声明:
由于传播、利用本公众号所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,公众号及作者不为此承担任何责任,一旦造成后果请自行承担!如有侵权烦请告知,我们会立即删除并致歉。谢谢!
拿到靶机发现是apache2,随手ls一下
这里就是apache的日志了,使用ll查看一下文件大小
发现access.log.1是记录的日志,access.log是我自己访问web时生成的新的日志。
这里我使用ssh链接靶机,查看起来更方便下载。
下载下来之后大致看了一下日志,在184行这里都是使用dirsearch扫描目录的所有攻击的IP是192.168.1.7
在往下分析,在9185行这里出现攻击者的的ua头,里面出现操作系统Linux x86_64
在往下分析,在9203行这里出现了1.php?2002=id这里只是linux的id命令,回到linux中查看1.php是否是木马。
1.php是典型的一句话木马,前面的时间就是第一次攻击时间,后面就是路径和密码
将网站打包下载下来使用D盾扫一下
出现隐藏木马footer.php
查看linux进程ps -aux,发现有一个prism的进程,这是备课的时候认识的一个单词prism(凌镜计划),就再次搜索了一下这个单词,确定是木马。
参考地址
https://www.cnblogs.com/lingerhk/p/4009909.html
使用lsof -p [pid]确定文件位置。
最后还剩一个收集地址,收集地址应该是黑暗浏览器之类的,在往上分析的时候发现有一个shodan,无疑收集平台是shoudan
答案:
192.168.1.7Linux x86_64ShodanDIRSEARCH24/Apr/2022:15:26:42/var/www/html/data/avatar/1.php 2022/var/www/html/footer.phpPrism/root/.mal/prism
Linux下的ICMP反弹后门:PRISM
往期推荐
【渗透实战】记一次针对某高校的渗透测试
【漏洞复现】GitLab 任意用户密码重置漏洞(CVE-2023-7028)
【攻防实战】地市红队攻防演练经验总结
如何随时随地体验AWD比赛(一键启动靶机版)
【渗透实战】手把手教你WIFI渗透
内网渗透初探 | 小白简单学习内网渗透
【建议收藏】网络安全红队常用的攻击方法及路径
【红队】一款高效的企业资产收集工具
记两次内网入侵溯源
【等保工具】等级保护现场测评工具
【Web渗透】Fuzz大法
记一次针对某学校系统的SRC挖掘
原文始发于微信公众号(WIN哥学安全):【附靶场】某省信息安全管理与评估第二阶段应急响应
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论