Webshell事件应急演练预案

网络拓扑
在这里插入图片描述
红方环境

kali linux2.0、burpsuite、nmap、Terminal、Meterpreter等

蓝方环境

Windows 7、Windows Server 2003、安全狗、D盾、远程连接工具等

红方-侦查小组,开始对目标网络10.1.1.0/24进行主机扫描

  1. 鼠标右击桌面弹出菜单栏,选择open in terminal打开命令模式,也可以在右边菜单选择在这里插入图片描述
  2. 红方-侦查小组使用nmap -sP 10.1.1.0/24 命令对同网段进行扫描。
  3. 红方-侦查小组成功发现同网段存活3台主机
    在这里插入图片描述

4.红方-侦查小组使用nmap -A 10.1.1.1命令对目标主机进行综合扫描

在这里插入图片描述
成功发现目标主机存在web服务,存在用户系统,可能存在web应用漏洞
5.使用命令模式输入Firefox,或在右边菜单点击应用图标开启Firefox浏览器
在这里插入图片描述
6. 打开浏览器在地址栏访问主机ip地址
在这里插入图片描述
7. 当前网页右边有注册账号,我们选择普通注册,输入自己的账号密码同意协议并注册在这里插入图片描述8. 注册完可以已经登录成功,单击自己用户名

在这里插入图片描述
9. 点击自己头像信息,选择更换头像,这里我们发现有上传头像,可能有文件上传漏洞,这里我们先不更换头像

在这里插入图片描述
10. 在命令行输入burpsuite或者点击右边应用图标,开启burpsuite。 开启成功后我们选择proxy模块,对数据进行截取,lntercept is on 表示已经是开启状态lntercept is off没开启,这里我们先选择不开启

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
11.切换Firefox浏览器,设置手动代理为127.0.0.1端口为8080,设置完点击OK。在这里插入图片描述
12.红方切换命令模式使用weevely generate fuck root/fuck.jpg命令开始生成渗透后门代码在这里插入图片描述
13.选择更换头像在这里插入图片描述
14. 选择刚才我们生成的fuck.jpg文件在这里插入图片描述
15. 选择完显示以下图片,这里先不要确认修改
在这里插入图片描述

  1. 开启抓包模式在这里插入图片描述
    17.上传文件在这里插入图片描述18. 切换burpsuite,如果我们截取的数据出现以下信息选择forward在这里插入图片描述
    19.可能需要发送多次,当出现下面的内容则为获取到我们需要的数据在这里插入图片描述
    20.修改上传文件的后缀名, 修改完点击forward发送数据包
    在这里插入图片描述
    在这里插入图片描述21.发送我们修改完的数据后关闭intercept 模式,下图表示已经关闭在这里插入图片描述22.切换浏览器,访问我们头像出现以下图片表示上传成功在这里插入图片描述
    23 . 在浏览器访问10.1.1.1/upload/avator/,出现后缀为php的文件表示上传成功在这里插入图片描述24.使用weevely命令进行连接10.1.1.1主机在这里插入图片描述25. 红方使用net user fuck /add命令创建名为fuck用户,使用net localhroup administrators fuck /add将fuck添加到管理员组并登陆在这里插入图片描述
    在这里插入图片描述
    在这里插入图片描述26.使用输入rdesktop 10.1.1.1 对目标主机进行远程桌面连接
    输入用户:Administrator密码为:123456远程桌面连接成功连接在这里插入图片描述27.开始进行目标主机权限维持,本地用户和组>用户,右击用户名,重命名将后门修改用户名后添加$进行隐藏。在这里插入图片描述
    在这里插入图片描述
    ————————————
    蓝方应急响应

1 . 打开开始菜单中的命令提示符,在命令提示符输入netstat 查看进程连接,蓝方网络出现异常连接主机名为20.1.1.1在这里插入图片描述
2.开始检测受感染主机,使用netstat -o命令查看可疑进程PID,在开始菜单打开我的电脑访问C:\phpStudy\Apache\logs下的apache日志文件access.log,滚动条运动到后面几行发现有可疑数据在这里插入图片描述
3.点击开始菜单下的管理工具>事件查看器, 查看安全性安全性事件发现入侵痕迹在这里插入图片描述
4. 查看本地用户和组>用户,异常用户痕迹在这里插入图片描述
5.使用netstat -o 查看可疑进程pid值为2200,进入计算机管理关闭远程桌面 重启完电脑进程已经被关闭在这里插入图片描述
在这里插入图片描述
6. 访问点击开始菜单中的管理工具>计算机管理>本地用户和组>用户,删除恶意用户在这里插入图片描述
7.开始D盾扫描目录,进行木马痕迹清理在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
8. 打开桌面下的tools文件下的安全狗应用进行安装,并配置安全狗服务在这里插入图片描述
9.打开D盾修改远程连接端口的值,并对文件上传进行白名单过滤在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
10.红方再次从后门远程登陆时产生404错误,目标网络漏洞已被修复在这里插入图片描述
在这里插入图片描述

  • 1
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

矢沢心

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值