记一次web应急
【推荐学习】暗月渗透测试培训 十多年渗透经验,体系化培训渗透测试 、高效学习渗透测试,欢迎添加微信好友aptimeok 咨询。
声明
本公众号发表的文章仅用于学习和交流,请勿用于非法途径,如果文章中涉及到侵权,请及时联系公众号进行删除。
0x00总结
攻击者获取Webshell途径
1.2022年4月7日 10:58:32对网站目录进行扫描,找到后台的登录页面
2.11:07:04开始通过对登录页面进行爆破,成功登录后台
3.登录后台后于11:24:30使用:CVE-2018-18086(帝国CMS后台getshell漏洞)拿到webshell
攻击者获取Webshell后的操作
1.上传了frpc、fscan工具和system.exe(用于检测是否为虚拟机环境和获取RDP的密码,创建一个名为zhangsan的账号)
2.使用fscan对内网的192.168.1.0/24网段进行了扫描(资产扫描和漏洞扫描)
3.使用system.exe创建了一个账号:zhangsan(管理员权限)
4.横向爆破内网其他机器
5.使用frpc反向代理流量出网
攻击者的相关信息
攻击源IP:192.168.1.200
攻击者的VPS:139.xxx.23(开放22端口)
0x01分析排查
webshell查杀
1.使用D盾工具对网站目录进行webshell查杀,发现2022-04-07 11:24:32的一个名为shell.php的webshell,文件路径在:C:phpStudyWWWeadminshell.php,文件内容如下图所示
2.在webshell的同级目录发现了frpc、fscan等文件,猜测攻击者拿到权限后使用了fscan工具对内网进行了扫描,并将流量通过了frp代理出去。
3.发现存在1、2、3三个txt文件,打开发现是fscan的扫描结果,扫描了192.168.1.0/24网段的指纹信息和主机存在的漏洞(ms17-010)
4.发现一个system.exe文件,上传到微步进行分析,根据结果显示,该文件会检测是否在虚拟机当中并读取终端RDP的密钥,该程序的作用是创建一个名为zhangsan的账号
5.使用D盾的账号检测功能,发现多了一个名为zhangsan的管理员权限账号
系统日志分析
1.在事件查看器当中,发现一条创建账号的日志,创建时间为:2022/4/7 11:51:40
2.使用evtxLogparse工具分析当前的系统安全日志,发现两条RDP登录成功日志,登录IP为:192.168.1.200
3.发现大量smb登录失败日志,通过SMB协议在横向暴力破解
0x02攻击路径排查
Apache日志排查
1.攻击者于2022年4月7日 10:58:32开始对网站发起目录扫描,攻击者IP:192.168.1.200
2.攻击者在2022年4月7日 11:03:16访问后台,于11:07:04开始对后台登录页面进行爆破
3.攻击者于11:19:03爆破后台成功并成功登录后台
4.攻击者通过/e/admin/ecmsmod.php这个路径,在11:24:30通过文件备份的方式写入webshell,并通过蚁剑进行连接
参考链接:https://blog.csdn.net/ws13129/article/details/90071260
FRP
1.通过frpc的配置文件,发现攻击者的VPS:139.xxx.23
2.IP开放端口:80、22,有搭建宝塔面板
原创文章,作者:mOon,如若转载,请注明出处:https://www.moonsec.com/8880.html