Windows Server Web3入侵排查

前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。

这是他的服务器,请你找出以下内容作为通关条件:

  1. 攻击者的两个IP地址
  2. 隐藏用户名称
  3. 黑客遗留下的flag【3个】

一、环境配置

在网盘中下载该靶场,解压后在vm中选择【打开】,选择对应的.ovf 文件

image-20240313134334425

随便设置一个名称,指定路径即可

二、后门用户排查

1、命令简单的排查

1
net user

image-20240313135600186

2、控制面板排查

image-20240313135718050

发现隐藏用户hack6618$

3、本地用户和组管理排查

image-20240313135815442

4、注册表排查

image-20240313135933026

并无其他用户

三、端口、进程排查

1、端口连接、进程排查

image-20240313140024490

与多个IP 的80端口处于连接关闭状态,与104.208.16.88的443端口处于连接状态

image-20240313140805519

每隔一段时间连接会发生变化

这里我们采用tcpview64.exe这个工具,来监听”心跳数据包”

image-20240313141139099

可以看到111.6.232.54223.109.1.97在进行连接,进程均为svchost.exe,直接判为异常连接

可以右击kill掉这两个进程

image-20240313141505805

四、自启动后门排查

1、计划任务排查

image-20240313141727140

两个计划任务均由后门用户hack6618$所创建,且发现flag{zgsfsys@sec}

image-20240313141914152

这两个计划任务都执行该启动程序,查看该文件内容:

image-20240313142100362

向www目录下写了一个webshell 的php后门木马文件,并输出了又一个flag{888666abc}

image-20240313142328067

确认写入了后门

2、自启动服务排查

服务这块正常

image-20240313142515443

3、自启动文件夹排查

正常

image-20240313142724009

4、自启动注册表项排查

安全

image-20240313160353982

五、入侵日志排查

1、Windows系统安全日志排查

1
2
3
4
5
6
7
8
9
10
11
12
13
4624:成功登录的账户。
4625:登录失败的尝试。
4672:授予了特殊权限。
4720:账户创建。
4722:账户启用。
4723:账户禁用。
4724:密码更改。
4725:密码重置。
4726:账户删除。
4738:用户账户更改。
4739:用户组更改。
4762:用户组添加或删除成员。
4776:此事件表示“计算机试图验证帐户的凭据”,这个事件通常与NTLM(NT LAN Manager)身份验证过程有关。

日志太多,这里暂时借用下工具进行快速分析

image-20240313161456543

再回到安全日志中查看4776的登陆情况

image-20240313162000328

后门用户hack6618$是通过NTLM认证进行登陆

2、Web日志排查

image-20240313163611200

日志不大,我们用在线日志审计工具进行简单的审计

image-20240313163811977

从48条日志开始,出现了外部IP192.168.75.129,之后从79条数据开始,重复了多次同样的操作,前方访问了login.php 登陆页面,那么重复的操作疑似爆破

image-20240313164204194

看了一下登陆的请求页面,确实是/zb_system/cmd.php?act=verify,那么确认该IP 在进行了登陆爆破行为

image-20240313164128438

该爆破行为一直持续到了最后,且爆破速率较慢

image-20240313164726256

但是中间有多处存在其他行为,怀疑攻击者使用了限制爆破速率的爆破工具,且在爆破成功之后回显账号密码并继续爆破

如下,针对/zb_system/admin/index.php?act=admin的路径,提示没有权限,那么这里很可能是攻击者在爆破成功之后对该账户进行了登陆,猜测其用户名为admin,那么针对admin 用户需要修改成强密码进行加固

image-20240313165147167

之后疑似进行了插件的上传操作

image-20240313165652657

1202条日志的时候疑似进行了模板攻击

image-20240313200220003

在进行了多次类似重复性的上传操作之后,访问了在计划任务中排查到的404 webshell木马后门文件,对木马文件的访问一直持续到了最后

image-20240313170116261

六、病毒木马文件排查

1、bat 后门

在计划任务重排到的system.bat文件,当任意用户登陆的时候将会执行,在www目录下创建一个404.php的后门webshell文件

image-20240313170503828

2、webshell 木马后门

那么对应的就是www下的404后门文件

image-20240313170537636

七、溯源追踪

在apache日志中,对404.php文件的访问是在11:34:03,持续到11:42:58

image-20240313171009891

hack6618$的首次登陆是在11:42:26,最后一次登陆在2024/3/13日的17:04:41

image-20240313171208549

筛选4720,后门用户的创建时间在11:36:55

image-20240313171330670

根据登陆的时间段在4624登陆成功的日志中,找到后门用户登陆的IP为:192.168.75.130

image-20240313172257722

那么system.bat是什么时候创建的呢,在3/12 11:47分的时候创建,在48分的时候进行了修改

image-20240313174356303

后门用户在登陆之后还做了哪些事情呢,这里用LastActivityView进行排查下

image-20240313174606862

他好像一直在进行登陆操作,后面是我做的一些排查操作

八、最后一个flag

那么针对本靶场的通关还少一个flag,也是找了一会儿,在小皮那里发现有两个数据库

image-20240313175239355

猜测flag 会不会在数据库中,最终也是找到了最后的flag

image-20240313175314592

九、工具一把梭

image-20240313175734078

image-20240313175745959

image-20240313194011963

呀?怎么多了一个后门!然后我观察了template目录下的所有文件,结果发现每一个开头都包含了这个文件,so,全部都是后门了

image-20240313195015699

image-20240313195526198

apache日志分析

image-20240313195854351

啊?日志中存在192.168.75.130的IP吗

image-20240313200641827

回去看了看日志,确实存在192.168.75.130的IP,在查看日志的时候没能看全,大多精力放在路径上面了

image-20240313200829514