网络拓扑
红方环境
kali linux2.0、burpsuite、nmap、Terminal、Meterpreter等
蓝方环境
Windows 7、Windows Server 2003、安全狗、D盾、远程连接工具等
红方-侦查小组,开始对目标网络10.1.1.0/24进行主机扫描
- 鼠标右击桌面弹出菜单栏,选择open in terminal打开命令模式,也可以在右边菜单选择
- 红方-侦查小组使用nmap -sP 10.1.1.0/24 命令对同网段进行扫描。
- 红方-侦查小组成功发现同网段存活3台主机
4.红方-侦查小组使用nmap -A 10.1.1.1命令对目标主机进行综合扫描
成功发现目标主机存在web服务,存在用户系统,可能存在web应用漏洞
5.使用命令模式输入Firefox,或在右边菜单点击应用图标开启Firefox浏览器
6. 打开浏览器在地址栏访问主机ip地址
7. 当前网页右边有注册账号,我们选择普通注册,输入自己的账号密码同意协议并注册8. 注册完可以已经登录成功,单击自己用户名
9. 点击自己头像信息,选择更换头像,这里我们发现有上传头像,可能有文件上传漏洞,这里我们先不更换头像
10. 在命令行输入burpsuite或者点击右边应用图标,开启burpsuite。 开启成功后我们选择proxy模块,对数据进行截取,lntercept is on 表示已经是开启状态lntercept is off没开启,这里我们先选择不开启
11.切换Firefox浏览器,设置手动代理为127.0.0.1端口为8080,设置完点击OK。
12.红方切换命令模式使用weevely generate fuck root/fuck.jpg命令开始生成渗透后门代码
13.选择更换头像
14. 选择刚才我们生成的fuck.jpg文件
15. 选择完显示以下图片,这里先不要确认修改
- 开启抓包模式
17.上传文件18. 切换burpsuite,如果我们截取的数据出现以下信息选择forward
19.可能需要发送多次,当出现下面的内容则为获取到我们需要的数据
20.修改上传文件的后缀名, 修改完点击forward发送数据包
21.发送我们修改完的数据后关闭intercept 模式,下图表示已经关闭22.切换浏览器,访问我们头像出现以下图片表示上传成功
23 . 在浏览器访问10.1.1.1/upload/avator/,出现后缀为php的文件表示上传成功24.使用weevely命令进行连接10.1.1.1主机25. 红方使用net user fuck /add命令创建名为fuck用户,使用net localhroup administrators fuck /add将fuck添加到管理员组并登陆
26.使用输入rdesktop 10.1.1.1 对目标主机进行远程桌面连接
输入用户:Administrator密码为:123456远程桌面连接成功连接27.开始进行目标主机权限维持,本地用户和组>用户,右击用户名,重命名将后门修改用户名后添加$进行隐藏。
————————————
蓝方应急响应
1 . 打开开始菜单中的命令提示符,在命令提示符输入netstat 查看进程连接,蓝方网络出现异常连接主机名为20.1.1.1
2.开始检测受感染主机,使用netstat -o命令查看可疑进程PID,在开始菜单打开我的电脑访问C:\phpStudy\Apache\logs下的apache日志文件access.log,滚动条运动到后面几行发现有可疑数据
3.点击开始菜单下的管理工具>事件查看器, 查看安全性安全性事件发现入侵痕迹
4. 查看本地用户和组>用户,异常用户痕迹
5.使用netstat -o 查看可疑进程pid值为2200,进入计算机管理关闭远程桌面 重启完电脑进程已经被关闭
6. 访问点击开始菜单中的管理工具>计算机管理>本地用户和组>用户,删除恶意用户
7.开始D盾扫描目录,进行木马痕迹清理
8. 打开桌面下的tools文件下的安全狗应用进行安装,并配置安全狗服务
9.打开D盾修改远程连接端口的值,并对文件上传进行白名单过滤
10.红方再次从后门远程登陆时产生404错误,目标网络漏洞已被修复