文章目录
关注我们,咱们在安全的路上,扬帆起航
Where-1S-tHe-Hacker-P1
0.场景描述
韩一是划水通信公司的一名安服,某天在日常巡检的过程中发现客户网站被入侵并挂了黑页,他意识到自己需要应急哥的帮助,于是他毫不犹豫地给你打电话。请你找出攻击痕迹并还原攻击链。服务器已经处于网络隔离状态,排查出并清理攻击者留存的恶意文件,将web服务恢复正常,保证服务器不存在安全问题,在做应急处置、溯源的过程中请给发现存在的脆弱点加固建议。
1.隐患排查
本文的思路仅仅是按照靶场内容建设,并不与真实环境下的排查方案一致
靶机用户和密码
用户:admin
密码:Aa123456
1.1 隐藏用户
唤醒屏保就可以看到在登录界面的左下角存在两个用户,分别是 admin
和 admin$
,以 $
结尾是常见的后门用户命名方式
可以通过查看注册表表项 计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
下的条目看到本地计算机的所有用户,可以更加精确地排查是否有后门用户建立
1.2 敏感信息
1.2.1 站点信息泄露
在当前用户的桌面存在敏感信息 mysql_conf.txt
,该文件上存储了后台管理员账号密码和数据库地账号密码
1.2.2 站点源码泄露
在站点根目录下存在站点源码的压缩文件
1.3 主站黑页
在站点根目录的 index.php
中发现如下内容 hacker by X1234567X
查看文件相关信息:创建时间、修改时间、访问时间,初步定位被渗透时间
1.3.1 webshell 后门查询
使用D盾、河马等查杀工具,对web目录下的文件进行查杀,可以看到第一个文件是在 2015
年建立的,后面两个文件是在2023
年建立的,且内容均为 eval($_POST[]
);` 形式
1.4 web 中间件日志分析
1.4.1 access.log
access.log
文件记录了服务器接收到的所有HTTP请求的详细信息。每条记录通常包括时间戳、客户端IP地址、请求的URL、HTTP方法(如GET或POST)、返回的HTTP状态码、传输的数据大小等
1.4.2 error.log
error.log
文件记录了服务器在处理请求时遇到的错误和异常。这些错误可能包括404未找到错误、500服务器内部错误、权限问题、配置错误等
1.5 windows 日志查询
win + R 输入 eventvwr
打开事件管理器
1.5.1 ID 4720
windows event ID=4720 代表已创建用户帐户
1.5.2 ID 4732
windows event ID=4732 代表已将成员添加到启用安全性的本地组
1.5.3 ID 5058
windows event ID=5058代表和密钥文件操作相关,它与Windows加密服务和密钥管理有关,例如密钥的创建、导入、导出或使用密钥进行加密或解密的活动。
1.5.4 ID 4624
windows event ID=4624代表一个用户成功登录,在某些情况下,事件ID 4624 可能会记录使用SMB协议的网络连接尝试,即使这些尝试最终没有导致用户登录系统。
1.6 后门查杀
可以尝试使用杀毒软件进行查杀,因为是windows,这里我们直接使用微软的 defender
对木马文件进行查杀