利用Windows server 2003简单搭建一个存在木马的靶机,供同学们接触了解应急响应的基础技巧
场景如下:
存在一台web服务器,已被入侵,如何去排查解决此次安全事件
首先根据通常经验,会查一下服务器外联情况,
通过netstat -ano查看,发现PID 2332存在不正常的外部链接
通过PID定位到具体进程,发现为hack.exe,
通过进程名找对应的进程路径
wmic process where name="hack.exe" get processid,executablepath,name
发现恶意程序在C盘根目录,且修改时间为2023-11-24 10:39
由于是web服务器,首先查一下web日志
根据木马生成时间,查找相近时间日志
发现访问了相关网页路径,并上传了webshell
查看对应路径的webshell
确认为一句话木马
此时可以确定攻击路径为
文件上传漏洞>上传webshell 时间为2023-11-24 10:37>上传远控木马 时间为2023-11-24 10:39
恶意IP为192.168.242.1 和 192.168.242.131
确认攻击路径后,对恶意程序和文件进行删除,并排查启动项和计划任务等
查看启动项
发现远控木马随系统启动
删除对应启动项
再检查计划任务,无计划任务
设置靶场时的注意点:
access.log默认不开启,需要修改配置文件
添加启动项命令为 reg add "HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run" /v hack /t REG_SZ /d "C:\hack.exe"
注意路径符号为\
标签:webshell,路径,练习,响应,启动项,木马,hack,应急,上传 From: https://www.cnblogs.com/byzd/p/17853181.html