应急响应靶场-Where-1S-tHe-Hacker-P1

于 2024-06-05 11:21:01 发布
阅读量1.1k 收藏 14
点赞数 22
分类专栏: windows 应急响应 文章标签: windows 应急响应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hide_in_darkness/article/details/139467189
版权

文章目录

关注我们,咱们在安全的路上,扬帆起航

在这里插入图片描述

Where-1S-tHe-Hacker-P1

0.场景描述

​ 韩一是划水通信公司的一名安服,某天在日常巡检的过程中发现客户网站被入侵并挂了黑页,他意识到自己需要应急哥的帮助,于是他毫不犹豫地给你打电话。请你找出攻击痕迹并还原攻击链。服务器已经处于网络隔离状态,排查出并清理攻击者留存的恶意文件,将web服务恢复正常,保证服务器不存在安全问题,在做应急处置、溯源的过程中请给发现存在的脆弱点加固建议。

1.隐患排查

​ 本文的思路仅仅是按照靶场内容建设,并不与真实环境下的排查方案一致

靶机用户和密码
用户:admin
密码:Aa123456

1.1 隐藏用户

​ 唤醒屏保就可以看到在登录界面的左下角存在两个用户,分别是 adminadmin$ ,以 $ 结尾是常见的后门用户命名方式

在这里插入图片描述

​ 可以通过查看注册表表项 计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names 下的条目看到本地计算机的所有用户,可以更加精确地排查是否有后门用户建立

1.2 敏感信息

1.2.1 站点信息泄露

​ 在当前用户的桌面存在敏感信息 mysql_conf.txt ,该文件上存储了后台管理员账号密码和数据库地账号密码

在这里插入图片描述

1.2.2 站点源码泄露

​ 在站点根目录下存在站点源码的压缩文件

在这里插入图片描述

1.3 主站黑页

​ 在站点根目录的 index.php 中发现如下内容 hacker by X1234567X

在这里插入图片描述

​ 查看文件相关信息:创建时间、修改时间、访问时间,初步定位被渗透时间

在这里插入图片描述

1.3.1 webshell 后门查询

​ 使用D盾、河马等查杀工具,对web目录下的文件进行查杀,可以看到第一个文件是在 2015 年建立的,后面两个文件是在2023 年建立的,且内容均为 eval($_POST[]);` 形式

在这里插入图片描述

1.4 web 中间件日志分析

1.4.1 access.log

access.log 文件记录了服务器接收到的所有HTTP请求的详细信息。每条记录通常包括时间戳、客户端IP地址、请求的URL、HTTP方法(如GET或POST)、返回的HTTP状态码、传输的数据大小等

1.4.2 error.log

error.log 文件记录了服务器在处理请求时遇到的错误和异常。这些错误可能包括404未找到错误、500服务器内部错误、权限问题、配置错误等

在这里插入图片描述

1.5 windows 日志查询

​ win + R 输入 eventvwr 打开事件管理器

1.5.1 ID 4720

​ windows event ID=4720 代表已创建用户帐户

在这里插入图片描述

在这里插入图片描述

1.5.2 ID 4732

​ windows event ID=4732 代表已将成员添加到启用安全性的本地组

在这里插入图片描述

1.5.3 ID 5058

​ windows event ID=5058代表和密钥文件操作相关,它与Windows加密服务和密钥管理有关,例如密钥的创建、导入、导出或使用密钥进行加密或解密的活动。

在这里插入图片描述

1.5.4 ID 4624

​ windows event ID=4624代表一个用户成功登录,在某些情况下,事件ID 4624 可能会记录使用SMB协议的网络连接尝试,即使这些尝试最终没有导致用户登录系统。

在这里插入图片描述

1.6 后门查杀

​ 可以尝试使用杀毒软件进行查杀,因为是windows,这里我们直接使用微软的 defender 对木马文件进行查杀

在这里插入图片描述

hide_in_darkness
关注
  • 22
    点赞
  • 14
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
The-hacker-playbook3最新版PDF
11-03
The-hacker-playbook3最新版PDF,从某安全群里面分享得到,同步共享给大家
hacker-news-api:官方Hacker News APIJavaScript包装器
04-29
$ npm install --save @moondef/hacker-news-api 或者 $ yarn add @moondef/hacker-news-api const hk = require ( '@moondef/hacker-news-api' ) ; ( async ( ) => { const popular = await hk . getPopular ( ) ;...
一次真实的应急响应案例——篡改页面、sysupdate、networkservice-靶场环境下载百度链接)
03-03
真实有效,如有侵权请联系CSDN管理员删除即可
应急响应——靶场实践
热门推荐
weixin_46601374的博客
04-21 1万+
唉,我可算直到值守每天12小时看警报是多么怨种的一工作,本以为该结束了,结果又加了一天!!!! 还好我没放弃自己,一直在自学东西(也不是我愿意的,这也不是没有办法嘛,大家都太卷了) 那就自学了学应急响应。不得不说,大佬们是真好呀,我才在日报里说我刚过完应急响应的知识,梳理出流程,就有大佬给我发来了——三个靶场,够我挺过这难熬的两天了。 嘿嘿不能辜负大佬的期望,咱就好好表现吧 目录 先搭个靶场 应急响应的过程 排查网络连接 排查历史命令 排查后门账户 查看特权账户 ...
一次真实的应急响应案例(Windows2008)——暴力破解、留隐藏账户后门与shift粘贴键后门、植入WaKuang程序——事件复现(含靶场环境)
W小哥
04-02 1万+
一、事件背景 某天客户反馈:服务器疑似被入侵,与恶意IP进行通信(恶意IP用192.168.226.131代替)。(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中) 受害服务器: Centos系统、IP: 192.168.226.132、无WEB服务 二、应急响应过程 2.1 排查网络连接 2.2 排查历史命令 2.3 排查后门账户 2.4 排查crontab后门 2.5 排查是否有命令被替换 三、应急响应溯源 3.1 查看后门 3.2 排查安全日志 3.2 溯源总结 至此,应急响
应急响应靶场web1】
一纸荒芜的博客
03-14 3307
本文记录一下自己的靶场解题过程 靶场来源:知攻善防实验室
挖矿病毒靶场的搭建
laozhang338的博客
07-19 662
自己在应急响应这方面的知识,可以说是很薄弱,几乎为0。最近打算入手学习一下应急响应,看了好久的文档,想着实战一下检验自己的学习成果,不过是本人的资源有限,也没找到啥好的靶场,所以就想着自己搭建一个。但是由于本人实力有限,也只懂得皮毛。大家不要嘲笑,也多请各位大佬多多指教!!
hackerrank-interview-preparation-kit
03-17
【标题】"HackerRank面试准备套装" HackerRank是一个知名的在线编程挑战平台,它为求职者和招聘者提供了一个互动的环境,帮助求职者提升技术能力,特别是针对面试场景的技能。"HackerRank面试准备套装"是该平台专门...
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、留多个houmen-应急响应靶场应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
hackernews-daily:黑客新闻每日十大帖子
03-31
它是如何工作的脚本每天都在hackernews上获取热门帖子它在此仓库中打开了一个问题,并存储了标题人们可以通过观看此回购或通过订阅新期刊谢谢黑客新闻API的用于从问题生成RSS文件用于托管RSS feed 的灵感相关标题...
[应急响应]
weixin_47920370的博客
04-22 4251
一、应急响应过程 目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案 保护阶段:直接断网,保护现场,看是否能够恢复数据 分析阶段:对入侵过程进行分析,常见方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等 复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法 修复阶段:分析原因后,修补相关系统、应用漏洞,如果存在后门或弱口令,及时清除并整改 建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提高安全意识 二、必备知识点 1、熟悉常用的web安
一次真实的应急响应案例(Ubuntu)——暴力破解、写入ssh公钥留后门、植入GPU挖矿程序——事件复现(含靶场环境)
W小哥
03-01 7839
一、SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。 危害: SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 一、事件背景 某天客户反馈:Linux服务器有异常连接,疑似被入侵。(真实案
一次真实的应急响应案例(Linux)——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)
W小哥
04-21 4116
一、SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。 危害: SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 一、事件背景 某天客户反馈:Linux服务器有异常链接,疑似被入侵。 ..
Where-1S-tHe-Hacker靶机实操
最新发布
2301_80366980的博客
03-21 1312
仅供个人学习,如有冒犯请尽快联系记录Where-1S-tHe-Hacker应急靶机的实操登陆界面看到一个admin $ ,注意 $ 加在用户名后面就变为隐藏用户了。
一次真实的应急响应案例——篡改页面、挖矿(sysupdate、networkservice)(含靶场环境)
W小哥
03-03 7194
一、事件描述: 某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,运维人员认为该公司服务器可能被黑客入侵了,现小李向XX安全公司求助,解决网站跳转问题。 二、应急响应过程 2.1 查找植入暗链的代码 通过运维人员提供的信息:“通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题”,可以判断出,网站首页已经被植入了暗链,那么可以先查看网站首页 index.jsp文
应急响应靶场web2】
一纸荒芜的博客
03-15 1495
靶场来源:知攻善防实验室
tail -f -n
09-06
tail -f -n命令表示使用tail命令,以监视文件的尾部内容,并显示指定数量的行数。其中,-f参数用于实时监视文件的增长,-n参数用于指定要显示的行数。 例如,使用命令tail -f -n 20 filename将会实时显示文件filename的最后20行内容。这意味着,当文件增长时,将持续显示文件的最后20行。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [tail命令 – 查看文件尾部内容](https://blog.csdn.net/m0_67268191/article/details/130734838)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [说说tail](https://blog.csdn.net/hacker_Lees/article/details/93636550)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值