安全矩阵

 找回密码
 立即注册
搜索
查看: 6569|回复: 0

从溯源到拿下攻击者服务器!

[复制链接]

991

主题

1063

帖子

4315

积分

论坛元老

Rank: 8Rank: 8

积分
4315
发表于 2021-1-19 22:22:27 | 显示全部楼层 |阅读模式
原文链接:从溯源到拿下攻击者服务器!

来源:https://blog.csdn.net/YuanXi001/article/details/110918504
起因:朋友突然告诉我他的服务器被冲了,让我帮忙看下:


分析源文件:首先在服务器发现一个php文件,非常可疑。
可疑到什么程度?
朋友的站架设在bbs里面,但是在html目录下存在一个php文件:



进入后查看:


打开后发现是小透明师傅之前的反序列化马:


具体链接如下:
http://www.f4ckweb.top/index.php/archives/7/
并且我觉得我朋友还有点弱智,
他把他的ssh账号密码
放到了网站根目录下面:



不被搞才怪,查看历史:


开始反制:目标站点打开后:


fofa一顿搜索后发现目标存在宝塔面板:


思索了一会得出结论,不好搞。
只能从web入手,先收集指纹,运气比较好直接从cookie里知道目标指纹信息了:


onethink默认后台是/admin.php,但是这个站点把后台地址改掉了:



只能通过日志进行判断,构造url:/Runtime/Logs/Admin/20_12_07.log



打开后台地址:



登录框存在注入:



构造好payload:
username[]=IN (‘a’) union select 1,2,’’,4,5,6,7,8,9,10,11,12 – &username[]=111&password=&verify=
90
成功绕过登录:



得还是个杀猪盘,能控制开奖:



找到目标创建插件的地方,得到目标后台Getshell:



成功getshell:



后渗透:
使用Restorator 2018 修改资源后得到木马:



在webshell上部署flash弹窗:



登陆后会弹出提示:



一觉睡起来得时候目标已经上线几次并且掉线了。。。




版权申明:内容来源网络,版权归原创者所有。除非无法确认,都会标明作者及出处,如有侵权烦请告知,我们会立即删除并致歉。祝每一读者生活愉快!谢谢!


回复

使用道具 举报

您需要登录后才可以回帖 登录 | 立即注册

本版积分规则

小黑屋|安全矩阵

GMT+8, 2024-11-28 18:39 , Processed in 0.015035 second(s), 18 queries .

Powered by Discuz! X4.0

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表