记一次web应急

声明

本公众号发表的文章仅用于学习和交流，请勿用于非法途径，如果文章中涉及到侵权，请及时联系公众号进行删除。

0x00总结

攻击者获取Webshell途径

1.2022年4月7日 10:58:32对网站目录进行扫描，找到后台的登录页面

2.11:07:04开始通过对登录页面进行爆破，成功登录后台

3.登录后台后于11:24:30使用：CVE-2018-18086（帝国CMS后台getshell漏洞）拿到webshell

攻击者获取Webshell后的操作

1.上传了frpc、fscan工具和system.exe（用于检测是否为虚拟机环境和获取RDP的密码,创建一个名为zhangsan的账号）

2.使用fscan对内网的192.168.1.0/24网段进行了扫描（资产扫描和漏洞扫描）

3.使用system.exe创建了一个账号：zhangsan（管理员权限）

4.横向爆破内网其他机器

5.使用frpc反向代理流量出网

攻击者的相关信息

攻击源IP：192.168.1.200

攻击者的VPS：139.xxx.23（开放22端口）

0x01分析排查

webshell查杀

1.使用D盾工具对网站目录进行webshell查杀，发现2022-04-07 11:24:32的一个名为shell.php的webshell，文件路径在：C:phpStudyWWWeadminshell.php，文件内容如下图所示

2.在webshell的同级目录发现了frpc、fscan等文件，猜测攻击者拿到权限后使用了fscan工具对内网进行了扫描，并将流量通过了frp代理出去。

3.发现存在1、2、3三个txt文件，打开发现是fscan的扫描结果，扫描了192.168.1.0/24网段的指纹信息和主机存在的漏洞（ms17-010）

4.发现一个system.exe文件，上传到微步进行分析，根据结果显示，该文件会检测是否在虚拟机当中并读取终端RDP的密钥，该程序的作用是创建一个名为zhangsan的账号

5.使用D盾的账号检测功能，发现多了一个名为zhangsan的管理员权限账号

系统日志分析

1.在事件查看器当中，发现一条创建账号的日志，创建时间为：2022/4/7 11:51:40

2.使用evtxLogparse工具分析当前的系统安全日志，发现两条RDP登录成功日志，登录IP为：192.168.1.200

3.发现大量smb登录失败日志，通过SMB协议在横向暴力破解

0x02攻击路径排查

Apache日志排查

1.攻击者于2022年4月7日 10:58:32开始对网站发起目录扫描，攻击者IP：192.168.1.200

2.攻击者在2022年4月7日 11:03:16访问后台，于11:07:04开始对后台登录页面进行爆破

3.攻击者于11:19:03爆破后台成功并成功登录后台

4.攻击者通过/e/admin/ecmsmod.php这个路径，在11:24:30通过文件备份的方式写入webshell，并通过蚁剑进行连接

参考链接：https://blog.csdn.net/ws13129/article/details/90071260

FRP

1.通过frpc的配置文件，发现攻击者的VPS：139.xxx.23

2.IP开放端口：80、22，有搭建宝塔面板