分享信息安全工作小记

健宇 2014-09-05 16:11:00

0x01 工作背景:


1、 某厅级部门政府站点被篡改

2、 上级主管部门安全通告

3、 配合该部门查明原因限期整改

0x02 工作记录:


1、 信息收集

A、首先到机房了解了一下拓扑图,大概就是:互联网-防火墙-web应用防火墙-防篡改-DMZ服务器区;

B、然后了解了一下web应用程序架构,大概就是:3台服务器里面1台跑iis中间件1台跑sqlserver2008数据库,站库分离,服务器性能比较好,1台syslog服务器接收日志;

C、网站属于.net开发,之前加固过:

a、后台限制IP访问,

b、FCKEDITOR上传目录禁止执行,

c、sqlserver数据库降低权限使用network service并且关闭cmdshell等高危组件。

2、 访谈管理员

A、与管理员沟通得知某个HTML页面被黑客篡改了一些不好的内容,查看数据库日志以及数据库中记录的网站操作记录分析判断不属于后台管理员修改;

B、查看web应用防火墙日志的时候发现并未记录任何日志,访谈得知机房防火墙坏掉了,就变动了一下线路,所有请求web服务器的用户都不会经过web应用防火墙,相当于就是个摆设;

C、FCKEDITOR编辑器任意上传漏洞早在2013年就已经存在,当时开发商没有历史源代码无法升级采用web应用防火墙+IIS限制执行权限方法;

D、2013年湖南省金盾信息安全测评中心的信息安全等级保护测评报告提出的整改建议甲方不知道如何整改就没有整改到位。

3、 情况分析

在初步了解完情况以后,对web目录进行可疑文件筛选:

(黑客所放置的后门程序,文件修改时间被伪装)

(webshell内容,变异的一句话)

(通过FCKEDITOR编辑器上传的一句话木马文件初步判断为2014年6月30日黑客攻击)

初步判断为FCKEDITOR编辑器被黑客利用了,接下来对iis 36GB日志进行压缩打包:

(成功打包网站日志)

(以webshell路径做为筛选条件初步快速从33GB日志文件内找出所有可疑IP地址以及时间)

入侵手段分析:最终分析得知最早黑客攻击利用 Common/UpLoadFile.aspx文件上传了ASPX木马文件在common/201406/20140619183500432547.aspx,

此上传功能并未调用FCKEDITOR编辑器,之前加固限制FCKEDITOR编辑器上传文件执行权限成功阻止了黑客利用该漏洞

黑客通过 /common/201406/20140619183500432547.aspx文件写入了/userspace/enterprisespace/MasterPages.aspx一句话木马文件,

后续相继写入了之前扫描出的可疑ASPX文件,成功固定了黑客入侵手段、时间、IP地址、综合分析在服务器的操作记录,由于综合分析操作记录部分涉及到该单位隐私信息不便公开

4、 反向渗透取证定位

在对3个月内日志仔细分析发现几个可疑的重庆和广东5个IP地址中113...173并未攻击成功,其他4个IP地址为1人或者1个团伙所使用IP地址:

(黑客利用FCKEDITOR编辑器漏洞成功建立了a.asp文件夹尝试利用IIS解析漏洞,但是由于IIS中进行过安全配置以及IIS7.5已经修补该解析漏洞入侵并未成功,故忽略)

对剩余的4个IP地址仔细分析发现61...181属于一个黑客使用的windows服务器:

(对该服务器进行收集得知操作系统为windows2003,浏览器ie8.0,绑定域名www.**dns.cn)

接下来对该服务器进行渗透测试,目的拿下其服务器获取黑客使用该服务器做跳板的日志以及黑客的真实IP地址,对其进行端口扫描结果:

PORT      STATE    SERVICE         VERSION
80/tcp    open     http            Microsoft IIS httpd 6.0
808/tcp   open     http            Microsoft IIS httpd 6.0
1025/tcp  open     msrpc           Microsoft Windows RPC(可以openvas或者nessus远程获取一些RPC信息)
1026/tcp  open     msrpc           Microsoft Windows RPC(可以openvas或者nessus远程获取一些RPC信息)
1311/tcp  open     ssl/http        Dell PowerEdge OpenManage Server Administrato
r httpd admin(通过HTTPS协议访问后了解到计算机名称为EASYN-9D76400CB ,服务器型号PowerEdge R610)
1723/tcp  open     pptp            Microsoft (黑客用做跳板开放的PPTP VPN服务器)
3029/tcp  open     unknown
8888/tcp  open     sun-answerbook?
10000/tcp open     ms-wbt-server   Microsoft Terminal Service(远程桌面服务,进行分析判断时发现存在黑客安装的shift后门)

(黑客的shift后门真逗,竟然不使用灰色按钮,伪装失败,肉眼直接识别是后门)

接下来确定渗透思路为:

A、使用漏洞扫描设备扫描主机漏洞以及每个端口存在的弱口令;

B、对shift后门有着多年爆菊花经验,进行类似于xss盲打,用鼠标点击每个角落或者同时按住ctrl+alt+shift来点击,最后尝试每个按键以及常用组合键;

C、通过1311端口的HTTPS可以对windows管理员进行暴力破解;

D、从80端口绑定的站点进行web渗透。

运气还不错,找到一个显错注入点直接sa权限:

(SQL2008显错注入成功)

(测试SA可以执行cmdshell,但是权限为网络服务,无法直接添加命令,还需要提权)

思考后觉得数据库与网站都属于network service,应该可以通过数据库写文件到网站根目录,然后连接菜刀提权进入服务器:

(通过显错得知了网站根目录,然后利用echo命令写入shell成功)

(webshell连接成功,运气真好!)

(从web.config文件中找到明文数据库sa超级管理员用户密码)

(iis6提权成功)

(明文管理员密码读取成功)

(进入服务器分析杀毒软件历史日志,得知黑客入侵手法)

(查看VPN配置信息取出日志,顺便了解到该服务器220天没有重启了,真牛。。。)

(提取出存在于系统中的shift后门)

继续向下分析,黑客是否种植远程控制木马或者其他rootkit:

(系统服务中发现异常服务项为远程控制木马,爆破1组准备)

(小样,默认还设置了注册表不允许administrators组无权限)

(定位到木马的DLL,提取并固定到入侵证据中)

(黑客惯用手法,伪装与正常ASPX程序相关文件名,修改文件时间,就连webshell代码都是那么几个一模一样的) 后续还发现黑客添加成功asp.net用户,但是没有种植驱动级后门,当前也并未发现其他后门。综合系统日志、IIS日志、webshell、逆向分析shift后门以及远程控制木马结果、数据库日志、防火墙日志等判断出黑客是重庆的XXX,这里就不提这些了。

以上内容仅供技术交流参考,欢迎大家与我互相交流,同时请关注长沙雨人网安的专业安全团队。

评论

F

F1uYu4n 2014-09-05 16:44:58

有意思啊
长沙的不错

静默 2014-09-05 16:45:18

支持宇哥

进击的zjx 2014-09-05 16:49:51

厉害

X

xsser 2014-09-05 17:05:15

行云流水

P

PgHook 2014-09-05 17:30:38

赞一个

路人甲 2014-09-05 17:36:03

宇哥,安全领域大牛级了

迦南 2014-09-05 17:49:27

宇哥,安全领域大牛级了,赞一个

I

idcspy 2014-09-05 20:20:20

我离大牛好近,上次还看到你们的招聘广告。

B

bitcoin 2014-09-05 23:37:17

不错

路人甲 2014-09-06 00:57:14

厉害

W

whking 2014-09-06 11:29:43

做运维的时候遇到过几次,asp.net用户不知是巧合?还是就是这货?特征就是网站被挂六合与菠菜。

R

Roar 2014-09-06 11:41:04

嘿嘿

G

GrayTrack 2014-09-06 12:27:09

支持大长沙·

X

xxx 2014-09-06 13:05:55

搞个linux反渗透吗!一天到晚都是win.

健宇 2014-09-06 13:16:11

见笑了

健宇 2014-09-06 13:16:30

快快加入我们吧

健宇 2014-09-06 13:17:33

呵呵,你就是传说中那老黑?赶快转型吧,技术不能干一辈子

健宇 2014-09-06 13:18:16

ASPNET可能是安装了.net出现的,但是asp.net肯定是黑客弄的。

健宇 2014-09-06 13:19:23

搞了很多,一篇文章无法体现所有技术,正向连接类型的LINUX DDOS集群渗透也做过

U

U神 2014-09-07 19:25:45

还行,还要继续下去?抓犯人呀

X

Xser233 2014-09-08 01:30:18

我造了一把刀,被别人拿去杀人

D

dsiden 2014-09-08 12:25:43

同长沙的

包包 2014-09-08 16:11:30

嗯,知道了。为什么总感觉这个黑客是不是菜鸟啊。。。不清除日志吗?

T

Teufel 2014-09-09 12:30:18

学习了,赞一个

咖啡 2014-09-09 20:42:52

牛逼, 学习了

0

0dmxy 2014-09-10 16:29:53

思路非常清晰,赞一个。---61.143.160.181
回顾一下这个黑客的一些问题:
1、删除日志这些东西不说了,能清理就要清理,但有些时候估计是删除不了。(反正别太指望完全不留下痕迹。)
2、主要还是自己的桥头堡没有搞好吧,,WEB那个注入sa权限是不是黑客自己特意留下的??还装远控?03系统不好提权洞子太多,被宇哥爆菊了。

0

0dmxy 2014-09-10 17:29:14

忍不住又看了下那个服务器,
1、注入点还在;进去了;依旧是SA权限;
2、web路径一样,写了个小马,进去了。宇哥的那个小马不知道为什么不执行,,自己又写了个别的;
3、e:\recycler\下面的exe还在,宇哥,呵呵。明文密码也看到了;

健宇 2014-09-10 23:23:15

打码这么多都被你还原了,佩服佩服。这个服务器很多日志都被清理过了。

健宇 2014-09-10 23:24:53

额,本身这个事情也是近期做的。我也没帮它加固,更没想到能被你知道IP地址。
但是:
1、我没有webshell,你所说的不能执行的肯定是别人的马,
2、可能乌云有人像你一样逆过去了,不然exe我删除了的。
请教下怎么看马赛克的

0

0dmxy 2014-09-11 08:34:46

老大,,明明是你没打码吧,,呵呵呵!
阅尽万千*$#,,心中自然无码!

I

iproute 2014-09-11 09:50:36

此处无码,打码不专业啊!
static/drops/full/9fd811a53f5616933a946e5a8e56466111b2e1e1.jpg

P

Pany自留地 2014-09-11 13:16:39

inurl:/Newslist.aspx?tid= inurl:dns
这码打的有什么用捏

健宇 2014-09-11 16:36:41

汗。实属失误,完了,这下泄密了要扣奖金!!!

健宇 2014-09-11 16:37:14

晕!

路人甲 2014-09-11 17:26:11

想学这门,但在百度上找的很乱,乱逛逛进来了,看了宇哥的小记,希望宇哥指点小弟学习的方向,小弟对这门行业很有兴趣,但目前很迷茫,希望宇哥指点一下学习的方向即可。

路人甲 2014-09-11 17:28:29

宇哥,能指点一下小弟吗?目前在学校学习,未能接触到网络安全方面,希望宇哥能指点小弟学习这门的方向即可。不要让小弟在百度上乱撞了。

健宇 2014-09-11 19:05:45

赞一个,抛砖引玉了

健宇 2014-09-11 19:06:08

加我QQ:8454051聊

哦哦 2014-09-11 21:53:33

支持宇哥

M

mr_dion 2014-09-12 09:28:31

楼主,用的什么提权工具?

9

9k九块钱 2014-09-13 01:35:47

学习了,这服务器安全设置的。

红小鬼 2014-09-13 23:17:07

看一看,学一学

存在敏感词 2014-09-14 14:29:45

精彩精彩!

动后河 2014-09-14 19:28:28

直接终端读密码比mimikatz方便那,能分享那个exe吗?

路人甲 2014-09-14 20:01:33

不错不错!学习了!行云流水,让我们看到的不只是技术,更是其思维~问下,重庆的~后续~
:)

Z

zzR 2014-09-15 09:10:09

鸡鸡哈

健宇 2014-09-15 09:27:30

iis6.exe

健宇 2014-09-15 09:28:00

软件名称叫wce,你可以找一下

I

Ivan 2014-09-15 16:38:40

学习拉~~反日

消逝文字 2014-09-16 09:48:41

牛 X

路人甲 2014-09-19 10:56:54

师傅 ,看了之后让我的心再次燃烧起来了

西

西北狼 2014-09-19 22:24:07

宇哥威武啊。拜读了

西

西北狼 2014-09-19 22:24:59

学习了。牛。。

南宁网警Mx 2015-01-05 10:45:45

好像看出来了什么~

路人甲 2015-01-12 15:36:45

三年后,他会从这篇文章找到你,从如家找到你的身份证,从12306找到你家人,从微博找到你家成员照片。
所以,现在开始,请帮他留意一下,找份好工作。

S

Soulmk 2015-06-23 11:10:39

最爱看反渗透~

小福仔 2016-06-03 10:11:03

牛逼, 学习了

健宇

这个人很懒,没有留下任何介绍

twitter weibo github wechat

随机分类

SQL注入 文章:39 篇
Windows安全 文章:88 篇
密码学 文章:13 篇
其他 文章:95 篇
APT 文章:6 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

Yukong

🐮皮

目录