首页 > 其他分享 >应急响应靶场Where-1S-tHe-Hacker

应急响应靶场Where-1S-tHe-Hacker

时间:2024-04-18 16:34:07浏览次数:37  
标签:Hacker 1S 主机 扫描 Eyes 命令 检测 Where ###

应急响应实战靶场

打开靶机,发现有两个用户,admin和admin$,一个是隐藏用户

admin用户的密码是Aa123456

杀软查杀

进入主机,我们直接使用D盾和D-eyes杀软进行后台扫描,节省时间

这边附上绿盟科技的D-Eyes的使用参数说明

#### Windows
请以管理员身份运行cmd,之后再输入D-Eyes路径运行即可或进入终端后切换到D-Eyes程序目录下运行程序。
#### Linux
请以root身份运行。
###文件扫描
> 若扫到恶意文件,会在D-Eyes所在目录下自动生成扫描结果D-Eyes.xlsx文件,若未检测到恶意文件则不会生成文件,会在终端进行提示。
#### Windows
1. 默认扫描(默认以5个线程扫描C盘)  
命令:`D-Eyes fs`
2. 指定路径扫描(-P 参数)  
单一路径扫描:`D-Eyes fs -P D:\tmp`
多个路径扫描:`D-Eyes fs -P C:\Windows\TEMP,D:\tmp,D:\tools`
3. 指定线程扫描(-t 参数)  
命令:`D-Eyes fs -P C:\Windows\TEMP,D:\tmp -t 3`
4. 指定单一规则扫描(-r 参数)  
命令:`D-Eyes fs -P D:\tmp -t 3 -r Ransom.Wannacrypt`
   > 规则名称即将yaraRules目录下的规则去掉后缀`.yar`, 如:指定`Ransom.Wannacrypt.yar`规则,即`-r Ransom.Wannacrypt`。
#### Linux
1. 默认扫描(默认以5个线程扫描全盘)  
命令:`./D-Eyes fs`
2. 指定路径扫描(-P 参数)  
单一路径扫描:`./D-Eyes fs -P /tmp`
多个路径扫描:`./D-Eyes fs -P /tmp,/var`
3.  指定线程扫描(-t 参数)  
命令:`./D-Eyes fs -P /tmp,/var -t 3`
4.  指定单一规则扫描(-r 参数)  
命令:`./D-Eyes fs -P /tmp -t 3 -r Ransom.Wannacrypt`
    > 规则名称即将yaraRules目录下的规则去掉后缀`.yar`, 如:指定`Ransom.Wannacrypt.yar`规则,即`-r Ransom.Wannacrypt`。

### 进程扫描
> 进程扫描的结果在终端上进行提示。
#### Windows:
1. 默认扫描(默认扫描全部进程)  
命令:`D-Eyes ps`
2. 指定进程pid扫描(-p参数)  
命令:`D-Eyes ps -p 1234`
3. 指定规则扫描(-r参数)  
命令:`D-Eyes ps -p 1234 -r Ransom.Wannacrypt`
4. 检测指定外联IP的进程  
可将恶意ip添加到工具目录`ip.config`文件当中,执行`D-Eyes ps`程序会自动检测是否有进程连接该IP,最后结果会输出到终端。  
`ip.config`文件格式(换行添加即可),如:
    ```
    0.0.0.0
    127.0.0.1
    ```

#### Linux:
1. 默认扫描(默认扫描全部进程)  
命令:`./D-Eyes ps`
2. 指定进程pid扫描(-p参数)  
命令:`./D-Eyes ps -p 1234`
3. 指定规则扫描(-r参数)  
命令:`./D-Eyes ps -p 1234 -r Ransom.Wannacrypt`
4. 检测指定外联IP的进程  
可将恶意ip添加到工具目录`ip.config`文件当中,执行`D-Eyes ps`程序会自动检测是否有进程连接该IP,最后结果会输出到终端。  
`ip.config`文件格式(换行添加即可),如:
    ```
    0.0.0.0
    127.0.0.1
    ```

### 查看主机信息
Windows命令:`D-Eyes host`  
Linux命令:  `./D-Eyes host`
### 查看主机网络信息,并导出外联IP
Windows命令:`D-Eyes netstat`    
Linux命令:  `./D-Eyes netstat`
> 主机若存在远程连接,执行该条命令后会在工具同级目录下自动生成“RemoteConnectionIP.csv”文件,之后可直接将该文件上传到“绿盟NTI威胁研判模块”查询主机所有远程连接IP信息。
绿盟NTI威胁研判模块网址:https://ti.nsfocus.com/advance/#/judge
### 查看主机账户 Windows命令:`D-Eyes users` Linux命令: `./D-Eyes users` ### 显示主机CPU使用率前15个进程信息 Windows命令:`D-Eyes top` Linux命令: `./D-Eyes top`
### 查看计划任务 Windows命令:`D-Eyes task` Linux命令: `./D-Eyes task`
### 查看自启项 Windows命令:`D-Eyes autoruns` Linux命令: `./D-Eyes autoruns`
### 导出主机基本信息 Windows命令:`D-Eyes summary` Linux命令: `./D-Eyes summary` > 执行该条命令后会在工具同级目录下自动生成“SummaryBaseInfo.txt”文件,文件内容包括主机系统信息、主机用户列表、主机计划任务及主机IP信息。
### Linux主机自检命令 Linux命令: `./D-Eyes sc` > 目前Linux自检功能支持以下模块检测: 空密码账户检测、SSH Server wrapper检测、SSH用户免密证书登录检测、主机 Sudoer检测、alias检测、Setuid检测、SSH登录爆破检测、主机Rootkit检测、主机历史命令检测、主机最近成功登录信息显示、主机计划任务内容检测、环境变量检测、系统启动服务检测、TCP Wrappers 检测、inetd配置文件检测、xinetd配置文件检测、预加载配置文件检测。 --- ## ⚠️注意事项 在D-Eyes工具目录下子目录yaraRules中,部分规则会触发杀毒软件告警,因为该目录存放的规则文件与杀软查杀规则相符,会触发杀软告警,直接加白即可,不会存在实际危害。 ## 附录:目前支持的检测规则 目前支持的恶意样本检测种类如下: ### 勒索: Babuk、BadEncript、BadRabbit、BCrypt、BlackMatter、Cerber、Chaos、ChupaCabra、Common、Conti、Cryakl、CryptoLocker、cryt0y、DarkSide、Fonix、GandCrab、Globeimposter、Henry217、HiddenTear、LockBit、Locky、Magniber、Makop、MBRLocker、MedusaLocker、Nemty、NoCry、Petya、Phobos、Povlsomware、QNAPCrypt、Sarbloh、Satana、ScreenLocker、Sodinokibi、Stop、Termite、TeslaCrypt、Thanos、Tohnichi、TrumpLocker、Venus、VoidCrypt、Wannacrypt、WannaDie、WannaRen、Zeppelin ### 挖矿: Wannamine、ELFcoinminer、givemexyz家族、Monero、TrojanCoinMiner ### 僵尸网络: BlackMoon、Festi、Gafgyt、Kelihos、Mykings ### Webshell: 支持中国菜刀、Cknife、Weevely、蚁剑 antSword、冰蝎 Behinder、哥斯拉 Godzilla等常见工具的webshell脚本的检测。

注册表用户

查看用户存在很多方法,比如计算机管理中的用户查看,命令行工具net user,以及注册表的查看

win+R打开注册表regedit

打开路径\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users查看用户信息

发现admin$,有时候攻击者并不会创建隐藏用户,而是克隆管理员的权限给guest用户,实现后续攻击

根据用户设置密码的时间,再根据系统的安全日志,可以找出创建用户的具体时间

系统日志

4624 登录成功
4625 登录失败,如果有人尝试破解系统密码,可以看到大量连续登录失败信息
4726 删除用户
4722 账号启用
4725 账号禁用
4723 修改密码
4724 重置密码
4634 注销成功
4647 用户启动的注销
4672 管理员登录
4720 创建用户,使用系统漏洞攻击成功后,往往会创建一个用户,方便远程登录
4732 加入安全组,常见于将新用户加入管理员组
4733 移除出安全组
4684 通过登陆界面登陆的

还原攻击链

因为攻击者是从web网站为入口入侵主机的,所以我们需要排查web日志

apache的日志存放在logs目录下

使用日志分析工具查看

可以发现在4:09的时候hacker尝试了了sql注入

我们将请求头进行url解码,发现hacker确实进行了sql注入的操作,并且之后有一段时间内产生了大量的sql语句,猜测是扫描工具sqlmap,但未成功

此网站能被sqlmap注入,就说明存在sql漏洞,只是利用未能成功

之后看到下载了www.zip,就是网站源码文件,这之后产生了大量的phpmyadmin路径的请求,证明hacker在源码文件中拿到了数据库的密码并成功登录

 

黑客登录phpmyadmin页面后,通过SQL查询的功能写入shell,这里复现一下

 

2023/11/6/04:22发现SQL注入点,并尝试利用SQLMAP一把梭,但未成功
2023/11/6/04:32下载www.zip,解压后WWW\inc\conn.info.php文件中包含MySQL的root账号密码,由此获取phpmyadmin的root账号权限
2023/11/6/04:33成功登录phpmyadmin后台
2023/11/6/04:36利用SQL查询功能点,尝试利用
2023/11/6/04:41写入webshell文件SystemConfig.php
2023/11/6/04:44写入webshell文件syscon.php
2023/11/6/04:45新建隐藏用户admin$
2023/11/6/04:55写入index.php挂黑页
2023/11/6/04:57利用获取的web管理权限发布文章
2023/11/6/05:03上传CS木马SysnomT.exe
2023/11/6/05:04上传CS木马SystemTemp.exe

 

标签:Hacker,1S,主机,扫描,Eyes,命令,检测,Where,###
From: https://www.cnblogs.com/zyToJH/p/18142792

相关文章

  • The 2023 ICPC Asia Hong Kong Regional Programming Contest (The 1st Universal Cup
    Preface不知道VP什么就继续找往年的区域赛真题来打了这场题挺合我们队口味的,开场2h就开出了5题(徐神110min的时候就过相对最难的C题),而且手上还有3个会写的题最后中间虽然因为F题卡常(CF评测机太慢导致的)浪费了快1h时间,但索性时间剩余很多还是4h下班了后面的题感觉都不太可做,遂光......
  • having的用法 对分组后的数据进行条件过滤 ,HAVING语句通常与GROUP BY语句联合使用,用来
    having的用法HAVING语句通常与GROUPBY语句联合使用,用来过滤由GROUPBY语句返回的记录集。HAVING语句的存在弥补了WHERE关键字不能与聚合函数联合使用的不足。语法:SELECTcolumn1、column2、...column_n,aggregate_function(expression)。FROMtables。WHEREpredicates。GRO......
  • 1st Universal Cup 做题笔记
    Stage1:Shenyanghttps://qoj.ac/contest/1096A只需要考虑每个pair的贡献即可,而相交的pair数量是线性的,因此可以暴力搞,剩下的不相交的pair拿前缀和做就行了,复杂度\(\mathcalO(n\logn)\)。cornercase是当一方的区间全部退化的时候,需要重新计算一下出现的概率。BC......
  • ESP01S固件烧录出现2-syncfail报错
    起因整理手上开发板的时候突然发现有几片ESP01S和ESP12F买来一直没有使用,所以打算拿出来使用MQTT服务进行透传,但是在测试ESP01S的时候发现MQTT的指令一直在报错,之后一查固件版本号居然显示2015年构建的,所以从安信可处下载了新固件进行烧录.故障现象一直显示等待上电同步或显示......
  • mysql中将where条件中过滤掉的group by分组后查询无数据的行进行补0
    背景mysql经常会用到groupBy来进行分组查询,但也经常会遇到一个问题,就是当有where条件时,被where条件过滤的数据不显示了。例如我有一组数据:我想查询创建时间大于某一范围的spu的分组下的sku的数量正常的sql查出的话,假如不存在相关记录SELECTproduct_id,count(*)countF......
  • 蓝桥杯第十三届单片机省赛真题(IAP15F2K61S2)
    一、题目二、题目分析1、难点(笔者个人认为)(1)s17按键短按和长按的设置不同,界面不同s17短按在参数界面需要把温度参数-1;s17长按在时间界面需要显示分,秒界面;所以笔者这里把两个数码管显示分两个函数voidNixie_Show()//数码管显示函数{ Nixie_pos_num(1,16); Nixie_po......
  • ctfshow--web11session置空绕过
    代码审计点击查看代码<?phpfunctionreplaceSpecialChar($strParam){$regex="/(select|from|where|join|sleep|and|\s|union|,)/i";returnpreg_replace($regex,"",$strParam);}if(strlen($passw......
  • 解密数仓的SQL ON ANYWHERE技术
    本文分享自华为云社区《GaussDBDWS的SQLONANYWHERE技术解密》,作者:tooooooooooomy。1.前言适用版本:【8.1.1(及以上)】查询分析是大数据要解决的核心问题之一,虽然大数据相关的处理引擎组件种类繁多,并提供了丰富的接口供用户使用,但相对传统数据库用户来说,SQL语言依然是使用最......
  • Where to Go Next for Recommender Systems? ID- vs. Modality-based Recommender Mod
    目录概符号/缩写说明TrainingdetailsDatasetsE2E下MoRec是否优于IDRec?RegularsettingWarmsetting越好的encoder带来越好的推荐效果?TSversusE2E?总结代码YuanZ.,YuanF.,SongY.,LiY.,FuJ.,YangF.,PanY.andNiY.Wheretogonextforrecommendersys......
  • 今早,这个中国人做的开源项目被YC的hacker news收录了!
    众所周知,YC在创业者心中的地位,它孕育出了openai、airbnb等众多硅谷知名企业。就在今早,YC的hackernews把这个由中国人做的开源项目收录了!这是一个什么项目?先上开源地址:https://github.com/saasfly/saasfly简介中可以看出,这是一个具备足够创新的“下一代SaaS模版”,旨在帮助使......