从溯源到拿下攻击者服务器!
文章来源:https://blog.csdn.net/YuanXi001/article/details/110918504
起因:
朋友突然告诉我他的服务器被冲了,让我帮忙看下:
分析源文件:
首先在服务器发现一个php文件,非常可疑。
可疑到什么程度?
朋友的站架设在bbs里面,但是在html目录下存在一个php文件:
进入后查看:
打开后发现是小透明师傅之前的反序列化马:
具体链接如下:
http://www.f4ckweb.top/index.php/archives/7/
并且我觉得我朋友还有点弱智,
他把他的ssh账号密码
放到了网站根目录下面:
不被搞才怪,查看历史:
开始反制:
目标站点打开后:
fofa一顿搜索后发现目标存在宝塔面板:
思索了一会得出结论,不好搞。
只能从web入手,先收集指纹,运气比较好直接从cookie里知道目标指纹信息了:
onethink默认后台是/admin.php,但是这个站点把后台地址改掉了:
只能通过日志进行判断,构造url:/Runtime/Logs/Admin/20_12_07.log
打开后台地址:
登录框存在注入:
构造好payload:
username[]=IN (‘a’) union select 1,2,’’,4,5,6,7,8,9,10,11,12 – &username[]=111&password=&verify=
90
成功绕过登录:
得还是个杀猪盘,能控制开奖:
找到目标创建插件的地方,得到目标后台Getshell:
成功getshell:
后渗透:
使用Restorator 2018 修改资源后得到木马:
在webshell上部署flash弹窗:
登陆后会弹出提示:
一觉睡起来得时候目标已经上线几次并且掉线了。。。
版权申明:内容来源网络,版权归原创者所有。除非无法确认,我们都会标明作者及出处,如有侵权烦请告知,我们会立即删除并表示歉意。祝愿每一位读者生活愉快!谢谢!
推荐阅读