1.Web入侵实战分析(一)
场景说明
某天运维人员发现在/opt/tomcat8/webapps/test/目录下,多出了 index_bak.jsp 这个文件。
并告诉你以下信息
操作系统:ubuntu-16.04
业务:测试站点
中间件:tomcat
开放端口:22,8080,8009
Tomcat 目录:/opt/tomcat8/
站点根目录:/opt/tomcat8/webapps
请帮助排查入侵过程
- SSH访问目标服务器,打包站点源码到本地。
- 使用D盾扫描源代码,发现木马文件。
- 尝试使用菜刀/蚁剑连接一句话木马。
- 尝试访问并登录index_bak.jsp大马。
- 查看Web日志,寻找木马的访问记录。
- 获取攻击者使用的IP地址。192.168.199.205 172.20.10.13
- 排查攻击者行为,确定漏洞类型。
- 通过漏洞验证确认攻击者是否成功利用漏洞。
- 对排查过程和结果进行总结。
1. 在2018-10-20 17:14:00 利用s2-016,通 过 /test/showcase.action 页面,上 传 webshell, a.jsp,获得 tomcat 的dbapp 权限 2. 2018-10-22 16:48:23 分在/home/dbapp/上传了 a.c 3. 2018-10-22 16:48:39 分在/home/dbapp/上传或生成了 a,尝试提权,但提权失败 4. 在2018-10-20 16:57:13 通过 a.jsp 上传了大马index_bak.jsp
实训任务2 Web入侵实战分析(二)
场景说明
某天运维人员发现运维的公司站点被黑页,首页标题被篡改。你获得的信息如下:
操作系统:windows server 2008 R2
业务:公司官网
网站架构:通过 phpstudy 运行 apache+mysql+php
开放端口:对外网开放 80 端口
站点路径:C:\phpStudy\PHPTutorial\WWW
请帮助排查入侵过程
- 查看被篡改的首页,在网站目录中寻找webshell。
- 确定webshell的类型,使用对应工具进行连接。
- 查看Web日志,寻找木马的访问记录。
- 确认攻击者IP。10.11.33.208
- 继续排查日志,确认漏洞来源(info.php)。
- 使用burpsuite进行漏洞验证。
- 继续排查日志,确认站点首页何时被篡改。
- 对排查过程和结果进行总结。
1. 2020-05-13 18:30:23 对站点进行了扫描,发现了info.php存在
2. 2020-05-13 18:31:14 左右利用 phpstudy 后门通过/info.php 页面,在网站根目录写入了shell.php 文件
3. 2020-05-13 18:32:36 利用/shell.php,写入了/html/shell.php 冰蝎马
4. 2020-05-13 18:34:16 利用该 webshell,篡改了站点首页
实训总结
Web入侵分析的思路和一般步骤
1.信息收集阶段
通过Whois查询获取域名注册信息、DNS记录及服务器IP地址
利用Google Hack搜索敏感目录、配置文件或公开漏洞信息
识别网站架构(如LAMP、Nginx)、中间件版本及第三方组件(如CMS、编辑器)
2.漏洞扫描与验证
使用自动化工具扫描SQL注入、XSS、文件上传等常见漏洞
验证已知组件漏洞(如ThinkPHP、Struts的公开EXP)
探测弱口令(如后台登录、数据库管理界面)
3.漏洞利用与权限提升
通过注入获取数据库权限,尝试提取管理员账号或站库同服路径
利用文件上传漏洞植入WebShell,或结合服务器解析特性(如IIS6.0、Apache畸形解析)执行恶意代码
提权至系统权限(如通过数据库执行系统命令、利用系统服务漏洞)
4.维持访问与横向渗透
部署持久化后门(如计划任务、隐藏账户)
利用内网服务漏洞横向移动(如嗅探、ARP欺骗)
5.痕迹清理与日志篡改
删除操作日志、Web访问日志及系统日志
扫一扫
1万+
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
