背景简介
当前随着时代的发展和国家信息化进程的加速,计算机系统和网络已经成为重要的基础设施。而伴随着当下频繁发生的网络安全事件,各个地区和单位对网络安全应急响应也更为重视,一个能够及时预警、快速响应、协同配合、高效处置、尽快恢复的应急响应能够避免造成重大影响和损失。
流程分析
准备阶段
准备阶段需要做的是主要是明确资产范围,对可能产生安全问题的地方进行加固。
检测阶段
通过日常的监控,收集系统信息日志等手段对可疑的迹象进行分析、判定,如果判定他属于网络安全应急响应时间则对该事件进行上报【可以利用netstat -ano查看端口连接情况,也可以使用tasklist | findstr "PID"对具体pid进程定位。系统日志可以win+R,输入eventvwr.msc,直接进入事件查看器分析日志】。
应急响应基础——Windows日志分析
抑制阶段
分析影响范围,根据预案采取相应手段,限制攻击的范围,设置隔离区,把影响降低到最小【可以使用安全软件把危险文件进行隔离,如果整台电脑完全沦陷,也可以考虑首先断网】。
根除阶段
分析产生安全事件的原因,如果是木马、病毒就需要寻找病毒的传播源并且遏制;如果是入侵行为就可以通过入侵检测的方式捕获并检测数据流,也可以利用一些工具对病毒特征进行扫描分析和定位。
恢复阶段
对受到破坏的系统和信息还原成正常状态,从可信任的备份中恢复还原系统配置数据库等等,并对其进行监控,确保无误后可适当去掉之前的隔离等抑制措施。
总结阶段
对我们上面所发生的安全事件进行总结,对你使用到有效的手段和方法做一个记录,对后面可能遇到的事件做一个示例。
案例分析
本次案例使用的CMS为cltphp。
红队角度
-
首先点击最上方的会员中心进行注册账号
说明存在xss漏洞。
-
回到修改个人信息处,我们在格言处再次尝试
xss注入
查看对应源码,尝试重现修改一下闭合标签</textarea>
xss注入成功。
-
我们继续测试是否有未授权访问漏洞。我们尝试将这个登录成功的
url再另一浏览器打开,发现直接就可以登录,不需要重新输入账号密码,因此我们猜测可能存在未授权访问漏洞。我们在打开得了另一网页中修改个人信息,再来到原本得了浏览器中刷新,发现个人信息未被修改,因此,不存在未授权访问漏洞。 -
继续测试是否存在越权漏洞。还是需要注册两个用户,尝试抓取一个用户提交信息的数据包,记录其
id值;同时放包后抓取另一用户的数据包,将其id值修改为第一个用户的id值,修改数据包之后刷新页面,则发现用户信息被修改,因此,我们判断该cms存在一个明显的越权漏洞。 -
继续测试是否存在
CSRF漏洞。在burp中生成一个csrfPOC,点击触发之后提示数组报错。我们观察数据包中没有token之类的值,因此我们判断这里大概率存在CSRF漏洞。 -
尝试测后台登录漏洞。
-
测试头像位置是否存在文件上传漏洞。尝试上传一个图片马,可以直接上传成功;再次重现上传,使用
burp抓取数据包修改图片后缀为php,依然可以上传成功,我们使用蚁剑进行连接即可成功得到shell。 -
蚁剑连接成功,可以尝试使用
net user 账号gyy 密码/add去添加名为gyy的用户,并且使用net localgroup administrators gyy /add添加到管理员组。 -
远程连接到主机,选中开始->管理机工具->计算机管理,修改用户名后添加
$进行隐藏,但隐藏的并不完全【隐藏用户】。
蓝队角度
- 首先
netstat查看进程连接,发现了一些奇怪的地方。
- 于是我们去查看
web的日志,发现了一些比较可疑的数据。
- 我们继续去查看一下系统日志
phpstudy\Apache\logs\access.log【其中默认关闭,需要在phpstudy\Apache\conf|httpd.conf中手动开启】,发现了入侵痕迹。
- 根据刚刚查找到的
web日志,分析发现根目录下有个/public/uploads/20210812/4bbc7f88f1cced12d267b4c52dec91a7.php的文件,打开发现就是webshell
- 利用工具D盾对目录进行扫描,查询到还有其他的
webshell,全部进行删除。
- 利用工具中的账号检测功能发现了异常账户直接删除。
- 还可以利用工具里面的功能对
3389端口进行修改和添加白名单。
扫一扫
4990
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
