首页 > 其他分享 >应急响应web1

应急响应web1

时间:2024-05-09 10:33:08浏览次数:32  
标签:后门 文件 漏洞 响应 web1 攻击者 日志 应急 上传

应急响应的过程

目的:分析攻击时间、攻击操作、攻击结果、安全修复等并给出合理的解决方案。

保护阶段:直接断网,保护现场,看是否能够恢复数据;

分析阶段:对入侵过程进行分析,常见的方法为指纹库搜索、日志时间分析、后门追查分析、漏洞检查分析等;

复现阶段:还原攻击过程,模拟攻击者入侵思路,关注攻击者在系统中应用的漏洞、手法;

修复阶段:分析原因之后,修补相关系统、应用漏洞,如果存在后门或者弱口令,即使清楚并整改;

建议阶段:对攻击者利用的漏洞进行修补,加强系统安全同时提高安全意识;

1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名(仅域名)

下载下来我们用vmware17打开,这里的VMware是要17.5以上的,不然会打不开

首先打开靶机

发现桌面有phpstudy应用,我们开启一下,打开网站的根目录

image-20240509101201987

或者我们也可以用,后门查杀工具也是可以的,火绒也是可以的

打开后门文件发现后门密码

默认密码:rebeyond

到这里就结束了

我们也可以看一下日志文件,只有apache有日志

image-20240509101217931

通过分析日志文件,发现有一个IP地址发起的post请求较多

攻击者的ip地址就是192.168.126.1

这里是第二问

先访问看看这个IP地址,没有什么发现

看一下有没有其他用户

多了一个

image-20240509101229251

这里是第三问

两个地方都会发现有一个隐藏的账户

可以看看这个账户里面有什么东西

在桌面上发现一个应用程序

image-20240509101252000

后面可以用反编译的软件看一下,后面的需要等待一下

第四问还没有出来

我们用小皮打开他的网站看看

image-20240509101300216

可以看到是emlog cms,一搜就能搜出历史漏洞,我们参照攻击者的思路去入侵

首先进入登陆页面,采用爆破,爆破出账户和密码

image-20240509101310492

admin/123456

登录成功以后我们就可以看到版本

image-20240509101322510

找到文件上传的地点
/admin/plugin.php

image-20240509101328997

emlogpro文件上传漏洞代码审计(CVE-2023-44974)(CVE-2023-44973)- Track 知识社区 - 掌控安全在线教育 - Powered by 掌控者 网上的方法

只能上传zip文件的格式

如果zip文件是1.zip,那么里面就要是1.php文件,这样才能上传成功

image-20240509101340018

蚁剑连接成功后执行命令
image-20240509101346303

标签:后门,文件,漏洞,响应,web1,攻击者,日志,应急,上传
From: https://www.cnblogs.com/young-24/p/18181587

相关文章

  • 【hvv训练】应急响应靶机训练-Web2
    前言应急响应靶机训练,为保证每位安服仔都有上手的机会,不做理论学家,增加动手经验,可前来挑战应急响应靶机-web1,此系列后期会长期更新,关注本公众号,被动学习。隔日会发题解,请大家务必关注我们。挑战内容前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现......
  • [hvv训练]应急响应靶机训练-Web3
    前言应急响应靶机训练,为保证每位安服仔都有上手的机会,不做理论学家,增加动手经验,可前来挑战应急响应靶机-web3,此系列后期会长期更新,关注本公众号,被动学习。隔日会发题解,请大家务必关注我们。挑战内容前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设......
  • 前来挑战!应急响应靶机训练-Web1
    前言应急响应靶机训练,为保证每位安服仔都有上手的机会,不做理论学家,增加动手经验,可前来挑战应急响应靶机-web1,此系列后期会长期更新,关注本公众号,被动学习。隔日会发题解,请大家务必关注我们。挑战内容前景需要:小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关......
  • 应急响应-工具篇
    360系统急救箱PC端360系统急救箱支持查杀电脑恶性病毒,包含驱动型及MBR型,同时支持扫描清除安卓手机顽固木马。下载地址:https://weishi.360.cn/jijiuxiang/index.html360星图一款非常好用的网站访问日志分析工具,可以有效识别Web漏洞攻击、CC攻击、恶意爬虫扫描、异常访问等行为......
  • 深入学习和理解Django视图层:处理请求与响应
    title:深入学习和理解Django视图层:处理请求与响应date:2024/5/417:47:55updated:2024/5/417:47:55categories:后端开发tags:Django请求处理响应生成模板渲染表单处理中间件异常处理第一章:Django框架概述1.1什么是Django?Django是一个高级的PythonWeb......
  • 注册表碎片整理是一种优化操作系统注册表的方法,旨在减少注册表文件的碎片化,从而提高系
    注册表碎片整理是一种优化操作系统注册表的方法,旨在减少注册表文件的碎片化,从而提高系统性能和响应速度。它通过重新整理和优化注册表文件的存储结构,以及压缩空闲空间等方式,来改善系统的整体表现。注册表是Windows操作系统中的核心组件之一,它存储了系统和安装的应用程序的配......
  • 响应式动漫音乐/个人博客杂志主题国漫FM模板
    国漫FM主题V1.8是以Ajax加以CSS动画的方式,很好的将优雅的设计感和极度精简的代码同时表现了出来,进而缔造出这样一款十分经典的名为Alwaysforyou的WordPress博客主题。正如作者自己所言:如果你想让你的WordPress博客看起来个性十足。FM主题为响应式格子布局(瀑布流),是一款......
  • 在Windows防火墙设置中,允许单播响应(Unicast Response)是一个控制选项,用于允许或禁止系
    在Windows防火墙设置中,允许单播响应(UnicastResponse)是一个控制选项,用于允许或禁止系统对多播或广播网络流量的单播响应。让我详细解释一下允许和禁止单播响应的区别:允许单播响应(是):当设置为“是”时(默认值),Windows系统会允许对多播或广播网络流量的单播响应。这意味着当系......
  • xhr fetch 监控响应进度
    xhraxiosfetchumi-request功能点XHRfetch基本的请求能力✔✔基本的获取响应能力✔✔监控请求进度✔x监控响应进度✔✔servieworker中是否能用x✔控制cookie的携带x✔控制重定向x✔请求取消✔✔自定义referrerx✔流......
  • 一次scp连接服务器无响应但ssh正常的问题
    背景这个问题在Linux上出现了很久,具体表现是用work账户进行scp时,输入密码后就一直不动;用ssh登录没任何问题;用root账户进行scp能成功。网上找了很多资料,这篇文章使用execzsh导致该问题的出现。我在.bashrc最后加上了exec$HOME/zsh-5.9/bin/zsh使得work账户能用zsh。最根本的原......