首页 > 其他分享 >简单的应急响应练习

简单的应急响应练习

时间:2023-11-24 13:34:39浏览次数:33  
标签:webshell 路径 练习 响应 启动项 木马 hack 应急 上传

利用Windows server 2003简单搭建一个存在木马的靶机,供同学们接触了解应急响应的基础技巧

场景如下:

存在一台web服务器,已被入侵,如何去排查解决此次安全事件

 

首先根据通常经验,会查一下服务器外联情况,

通过netstat -ano查看,发现PID 2332存在不正常的外部链接

通过PID定位到具体进程,发现为hack.exe,

通过进程名找对应的进程路径

wmic process where name="hack.exe" get processid,executablepath,name

 发现恶意程序在C盘根目录,且修改时间为2023-11-24 10:39

 由于是web服务器,首先查一下web日志

根据木马生成时间,查找相近时间日志

发现访问了相关网页路径,并上传了webshell

 查看对应路径的webshell

 确认为一句话木马

 此时可以确定攻击路径为

文件上传漏洞>上传webshell 时间为2023-11-24 10:37>上传远控木马 时间为2023-11-24 10:39

恶意IP为192.168.242.1 和 192.168.242.131

 

确认攻击路径后,对恶意程序和文件进行删除,并排查启动项和计划任务等

查看启动项

 发现远控木马随系统启动

 删除对应启动项

 再检查计划任务,无计划任务

 

 

设置靶场时的注意点:

access.log默认不开启,需要修改配置文件

添加启动项命令为 reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v hack /t REG_SZ /d "C:\hack.exe"

注意路径符号为\

标签:webshell,路径,练习,响应,启动项,木马,hack,应急,上传
From: https://www.cnblogs.com/byzd/p/17853181.html

相关文章

  • HTTP请求响应码详解 1XX/2XX/3XX/4XX/5XX
      转载自:https://blog.csdn.net/qq_43565087/article/details/124696787......
  • Java算法练习—递归/回溯
    递归是一个过程或函数在其定义或说明中有直接或间接调用自身的一种方法,它通常把一个大型复杂的问题层层转化为一个与原问题相似的规模较小的问题来求解。因此递归过程,最重要的就是查看能不能将原本的问题分解为更小的子问题,这是使用递归的关键。如果是线型递归,子问题直接回到父问题......
  • 【Quarkus】使用Buffer直接操作响应流
    importio.vertx.core.buffer.Buffer;importio.vertx.core.buffer.impl.BufferImpl;importio.vertx.core.http.HttpHeaders;importio.vertx.core.http.HttpServerResponse;importio.vertx.ext.web.RoutingContext;importjakarta.ws.rs.Consumes;importjakarta.ws.......
  • 深入理解Python爬虫中的HTTP请求与响应过程
    在Python爬虫开发中,了解HTTP请求与响应的过程是非常重要的。HTTP(HypertextTransferProtocol)是一种用于传输超文本的应用层协议,通过HTTP协议,我们可以在网络上获取各种资源。本文将深入探讨Python爬虫中的HTTP请求与响应过程,帮助您更好地理解和应用Python爬虫技术。1.了解HTTP协议H......
  • 小练习简单的JAVAEE框架
    简单的JAVAEE框架注意:本次框架练习是为了了解tomcat的框架底层代码一、解析web.xml文件packagecn.servlet;abstractclassLoadConfig{//缺省不允许外包访问,抽象不允许实例化不能被继承privatestaticMap<String,String>config;privateLoadConfig(){......
  • 练习
    markdown学习二级标题三级标题字体hello,worldhello,worldhello,worldhello,worldhello,world引用选择狂神说java,走向人生巅峰分割线图片点击跳转到百度列表1.ABC表格名字性别年龄张三男18代码public......
  • FTP客户端提示「响应: 530 Valid hostname is expected.」可尝试的解决方案
    响应:  530Validhostnameisexpected.该响应的意思是“需要有效的主机名”,通常在FTP登录时出现。这个响应表示FTP服务器要求客户端提供一个有效的主机名,以便服务器能够识别它。如果出现该响应,可能是因为输入的主机名错误或服务器无法识别它。解决方案用户名前加「......
  • MySQL语句语法练习记录
    导言:MySQL是一种广泛使用的关系型数据库管理系统,掌握MySQL语句的语法对于数据库开发和管理至关重要。本篇博客将记录一些常见的MySQL语句语法练习,并提供相关的演示示例,帮助读者更好地理解和应用MySQL语句。1.创建数据库和表创建数据库和表是开始使用MySQL的第一步。下面是一个创......
  • 使用Python协程并发测试cdn响应速度
    代码干净清爽才能看着赏心悦目:#!/usr/bin/envpython3.11importtimefromcontextlibimportcontextmanagerfromenumimportStrEnumimportanyioimporthttpx@contextmanagerdeftimeit(msg:str):start=time.time()yieldcost=time.time()-sta......
  • django小练习
    新建Django项目django-admin.exestartprojectFirstDjangocdFirstDjangopythonmanage.pystartappweblist改setting里的配置"""Djangosettingsforwebproject.Generatedby'django-adminstartproject'usingDjango4.0.2.Formoreinfor......