应急响应web1

应急响应的过程

目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案。

保护阶段:直接断网,保护现场,看是否能够恢复数据;

分析阶段:对入侵过程进行分析,常见的方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等;

复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法;

修复阶段:分析原因之后,修补相关系统、应用漏洞,如果存在后门或者弱口令,即使清楚并整改;

建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提高安全意识;

1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名(仅域名)

下载下来我们用vmware17打开,这里的VMware是要17.5以上的,不然会打不开

首先打开靶机

发现桌面有phpstudy应用,我们开启一下,打开网站的根目录

或者我们也可以用,后门查杀工具也是可以的,火绒也是可以的

打开后门文件发现后门密码

 默认密码:rebeyond

到这里就结束了

我们也可以看一下日志文件,只有apache有日志

通过分析日志文件,发现有一个IP地址发起的post请求较多

攻击者的ip地址就是192.168.126.1

这里是第二问

先访问看看这个IP地址,没有什么发现

看一下有没有其他用户

多了一个

 这里是第三问

两个地方都会发现有一个隐藏的账户        

可以看看这个账户里面有什么东西

在桌面上发现一个应用程序

后面可以用反编译的软件看一下,后面的需要等待一下

第四问还没有出来

我们用小皮打开他的网站看看

 可以看到是emlog cms,一搜就能搜出历史漏洞,我们参照攻击者的思路去入侵

首先进入登陆页面,采用爆破,爆破出账户和密码

admin/123456

登录成功以后我们就可以看到版本

找到文件上传的地点

/admin/plugin.php

 

emlogpro文件上传漏洞代码审计(CVE-2023-44974)(CVE-2023-44973)- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者 网上的方法

只能上传zip文件的格式

如果zip文件是1.zip,那么里面就要是1.php文件,这样才能上传成功

 蚁剑连接成功后执行命令

  • 5
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux web服务器应急响应靶场是一个模拟真实环境下的紧急事件响应练习场所。该靶场旨在提供一个具有高度仿真度的网络环境,以帮助安全人员提升对Linux web服务器应急响应能力。 首先,靶场会模拟真实的攻击场景,包括常见的漏洞利用和攻击技术,如SQL注入、跨站脚本攻击、远程命令执行等等。通过对这些攻击进行实践,安全人员能够学习并理解攻击者的手段和思路,从而更好地应对和防范类似攻击。 其次,靶场提供了一系列实际的应急响应演练,可以让安全人员在真实环境中应对各种紧急事件。比如,在被攻击后的服务器恢复和修复、日志分析和溯源等方面进行演练。通过这些实践,安全人员能够锻炼应急响应的技能,提升对应急事件的处理能力。 此外,靶场还提供了一些工具和资源,用于监控和检测攻击行为,以及收集和分析攻击相关的数据。通过这些工具的使用,安全人员可以更好地掌握攻击者的行为特征,及时发现异常情况并采取相应措施。同时,还能够积累更多的经验,为今后的实际工作提供更好的应对手段和方法。 总之,Linux web服务器应急响应靶场是一个非常有益的训练和实践场所,可以帮助安全人员提升Linux web服务器应急响应的能力和技巧。通过参与靶场的训练,可以提高应对紧急事件的速度和准确性,从而更好地保护服务器和网站的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值