网站被入侵后的应急响应实战
2023-7-11 00:3:31 Author: 橘猫学安全(查看原文) 阅读量:64 收藏

1.日志分析

访问入侵者ip:192.168.123.1

先利用notepad将日志筛选,选择出自己想要的部分,然后分析

1)扫描网站

[27/May/2019:15:50:07入侵者开始扫描网站后台

 

[27/May/2019:15:50:09扫描结束

 

2SQL手工注入

[27/May/2019:15:46:42入侵者使用如下url:

plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%[email protected]`\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%[email protected]__admin`%20limit+0,1),5,6,7,8,9%[email protected]`\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294

但是在日志中却是这样【需要稍加修改,多加了\】:

/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\\%27%20or%[email protected]`\\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%[email protected]__admin`%20limit+0,1),5,6,7,8,9%[email protected]`\\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294

通过url找到管理员后台账户和密码,并登陆网站后台

解决方法:过滤敏感字符后,就无法利用sql注入读取数据库文件,效果如下图所示

3)文件上传

[27/May/2019:15:52:28上传shell.php“大马文件”

 

经测试发现在网站后台“文件式管理器”处可以上传任意php文件,所以入侵者就直接上传了shell.php大马

 

解决方法:使用白名单,禁用文件类型

2.账户检测

使用D盾工具检测到克隆账号

 

打开“计算机管理”,发现确实存多加了“test”账户,将其删除

 

3.后门检测

快速点击shift键多下,出现如下图所示的cmd窗口,说明入侵者留了一个shift后门

 

修复方法:打开C:\WINDOWS\system32\目录,发现入侵者将cmd运行程序替换为sethc.exe文件,删除即可

 

注意在本目录下,有一个隐藏的文件夹,需要先打开隐藏文件夹,里面还有一个sethc.exe文件,也要将其删除才行

删除后再次多点shift键,就不会出现cmd窗口了,因为后门被我删了

作者:怪手精灵来源:https://www.cnblogs.com/guaishoujingling/p/10969149.html

声明:本公众号所分享内容仅用于网安爱好者之间的技术讨论,禁止用于违法途径,所有渗透都需获取授权!否则需自行承担,本公众号及原作者不承担相应的后果

如有侵权,请联系删除

推荐阅读

实战|记一次奇妙的文件上传getshell
「 超详细 | 分享 」手把手教你如何进行内网渗透
神兵利器 | siusiu-渗透工具管理套件
一款功能全面的XSS扫描器
实战 | 一次利用哥斯拉马绕过宝塔waf
BurpCrypto: 万能网站密码爆破测试工具
快速筛选真实IP并整理为C段 -- 棱眼
自动探测端口顺便爆破工具t14m4t
渗透工具|无状态子域名爆破工具(1秒扫160万个子域)
查看更多精彩内容,还请关注橘猫学安全:
每日坚持学习与分享,觉得文章对你有帮助可在底部给点个“再看

文章来源: http://mp.weixin.qq.com/s?__biz=Mzg5OTY2NjUxMw==&mid=2247508340&idx=2&sn=d626838e8e4a21d02bf1cde98fe556ff&chksm=c04d264af73aaf5c0733b883a7740446430dae56724e989f7c0f2109edc87f9bf60712c2f1bf#rd
如有侵权请联系:admin#unsafe.sh