プロローグ
サーバーがハッキングされたというメッセージは携帯電話から送信されたため、人々は混乱しました。このサーバーは重要ではありませんが、サーバーに何もない場合、どのようにハッキングされるのでしょうか。捕まったら弱さを見せられない。
バックドアを確認してください
分析を開始します。サーバーにログインしてすぐに、テストを行ったときに、サーバーに直接ファイルをアップロードするための射撃場を設定したことを思い出しました。非常に不快でした。まさか、私は最初に馬を見つけなければなりませんでした。まず、uploadトロイの木馬のバックドアが。のフォルダの下に見つかりました。
よく見てみるshell.phpと、これはPHPの氷のサソリ馬です。このトラフィック分析のソースを追跡することはできません。操作トラフィックは暗号化されています。.config.phpその適切な「アンデッドの馬」を見てください。削除されると再生されます。次に、ソースまでさかのぼることは絶対になく、操作トラフィックは暗号化されます。.config.phpその適切な「アンデッドの馬」を見てください。削除されると再生されます。
- 1.アンデッドの馬がスポーンした馬と同じ名前のディレクトリを作成します。
- 2.
ignore_user_abort(true)関数を使用し、アンデッドの馬のファイルの書き込みと削除を競合しているスクリプトを作成します。有効にするには、アンデッドの馬usleep()の時間よりも短い時間が必要です。usleep() - 3.権限が高い場合は、Apacheを再起動して直接削除してください。
- 4.再起動する権限がない場合
www-dataは、ユーザーのすべての子プロセスを強制終了します。
私には許可がありますが、www-dataの下のサブプロセスを個別にクリーンアップする方がよいと思います。次のコマンドを実行します。
ps aux | grep www-data | awk '{print $2}' | xargs kill -9
次にrm -f .config.php、「アンデッドの馬」をクリアします。
反撃のトレーサビリティ
バックドアをクリアした後、別の検査で問題はないはずです。ソースを追跡してこのハッカーを見つけることができるかどうか疑問に思ったので、最初に履歴レコードを調べ、次にApacheログレコードを調べました。彼もそれを削除しました。わかりましたが、このハッカーは少し無謀としか言えません。これは通常テストに使用されるサーバーです。以前にこのサーバーをテストに使用したときに、トラフィック監視用のWAFをいくつかのファイルに追加し、 WAFによって生成されたログレコード。実際に攻撃のレコードをキャプチャし、IPをキャプチャしました。
このIPを持ってWeibuOnlineに問い合わせてみてください。昔、パペットマシンとしてマークされていて、古いフリッターのようです。
人形劇を征服する
[→すべてのリソースをフォローしてください。クリックして表示および取得できます←]
1。ネットワークセキュリティ学習ルート
2.電子書籍(ホワイトハット)
3。セキュリティファクトリ内部
srcドキュメント
、一般的なセキュリティインタビューの質問
6、ctf競争クラシックトピック分析
7、ツールキットのフルセット
8、緊急時対応メモ
ターゲットマシンを知った後、スキャンの波のためにnmapを取り出したところ、ターゲットの3306ポートが公開されており、80ポートのアクセスページには何もありませんでした。
ただし、SSHの弱いパスワードとMysqlの弱いパスワードはめったに出会わなかったため、初めて考慮しませんでした。同時に、マイクロステップクエリの結果によると、このWebサイトには最初は「何万頭もの馬が疾走している」はずだと推測したので、それを検出するために修正されたスキャンツールを使用しました。その結果、確かに馬がいました。これは、構成ディクショナリにいくつかの一般的なバックドア名が追加された、変更されたdirsearchです。
スキャン結果から、この2頭の既存の馬に加えて、2.phpページもあります。訪問後、ページは空白です。ハッカーが残したポニーのバックドアであることが80%確実なので、私は次のように書きました。この問題を解決するための小さなスクリプト。いくつかのバックドアが順番に検出されました。最初に、オンラインでバックドアパスワード辞書を見つけ、次にハッカーが以前に植えた馬のパスワードをロードしました。最後に、スクリプトは次のとおりです。
Import requests
url = "http://ip/bgdoor.php"#后门地址
dict = open('后门密码字典.txt','r')
dict_list = dict.readlines()
print("[+] 请选择木马类型 1.GET 2.POST")
type = input("")
if int(type)==1:
for i in dict_list:
data = {i.strip():'phpinfo();'}
res = requests.get(url,data)
if '$_SERVER' in res.text:
print(i.strip())
if int(type)==2:
for i in dict_list:
data = {i.strip():'phpinfo();'}
res = requests.post(url,data)
if '$_SERVER' in res.text:
print(i.strip())
これは、品種の馬と同じコードで、馬に乗って彼を倒します。
ソーシャルワーカーアートブラックハンドポートレート
馬に乗った後、入るのは大変なことです。以前のポート検出のおかげで、MySQLサービスがあることを知っていました。当時のアイデアは、MySQLログインパスワードを見つけることでした。そのため、最初に入力したときに、ファイルを見つけるためにMySQLディレクトリの場所を探し始めuser.MYD、最終的にファイルのパスを見つけましたD:\MySQL\data\mysql\user.MYD。また、ユーザーデータベースログインのユーザー名とパスワードのハッシュを保持しているため、このファイルを見つけます。それを開くと、ユーザー名がrootであることがわかります。
ファイルのパスワードハッシュの取得については、このように説明します。まず、*があります。これは、パスワードのハッシュ長が40ビットでなければならないことを意味し、4つの異なるパスワードハッシュがあります。ファイルの先頭。セグメントの2つが26ビットと14ビットであり、スプライシングが正確に40ビットであることが提案されています。これは、MySQLログインのパスワードハッシュ値です。パスワードハッシュ値を取得してcmd5Webサイトに送信した後、それはクラッキングの波です。
クラッキング後、パスワードの結果が得られます。このパスワードも弱いパスワードと見なす必要がありますが、一般的には使用されていません。とにかく、cmd5ライブラリが存在するので、ここでは文句を言いません。次に、ユーザー名とパスワードを使用して、データベースに簡単に入力します。
入ってからこのデータベースを見てみましたが、内容が少なく、一般的に使われるべきではないようです。しかし、注意深く検索したところ、まだ何かが見つかりました。パスワードはコード化されていません。md5復号化後は、「123456」です。その時点で登録者によって登録されているはずですが、前のユーザーとメールをコード化する必要がありました。どちらの情報も興味深いものです。以下に示すように。
ユーザー値を取得した後、登録時に彼の共通のネットワークIDである必要があるようですが、このIDがマシンの元の所有者またはハッカーによって残されているかどうかはわかりません。だから私はこのIDをグーグルで検索しました。情報はあまりありませんが、無効なブログがあります。このQQをもう一度見て、友達を追加してみてください。これは明らかにトランペットであり、スペースのコンテンツは1〜2回更新されており、ほとんどが広告です。
このトランペットの最初の記事、QQ Speed Hall of Honorのようなものをもう一度見てください。Qコインを磨くのにも役立つようですが、それはすべて昔からの情報のようです。このように見ると、黒いサーバーを持っている人はややワイルドな感じがします。その後、探求を続けるという精神で、彼をQQに追加しましたが、数日間返信がありませんでした。このアカウントは無効になると推定されます。その放棄されたブログに戻って、さらに調査を行う方法はありません。
このブログは一般的なWordPressであるため、通常の操作:/wp-adminURLの後に検索背景を追加し、このパスで背景にアクセスします。アドレスは変更されていません。WordPressのデフォルトのユーザー名はadminで、パスワード辞書が生成されます。 、以前のMySQLデータベースもパスワードを取得し、ソーシャルエンジニアリングデータベースで彼の一般的に使用されるIDを確認し、古いパスワードを取得したためですが、それが彼のものかどうかはわかりません。最後に、ID履歴パスワードとMysqlログインパスワードを組み合わせて、ソーシャルエンジニアリングパスワード辞書生成ツールを使用して結合パスワード辞書を生成します。これは、BurpSuiteを取り出すためのシャトルです。
結果を見て大声で笑い、ログインするとメールアドレス確認のプロンプトが表示されました。このメールはまだQQメールであり、ハッカーの数が多いはずです。
それから私は友達を追加しようとしました、少なくともこれが一般的なアカウントであり、SVIPの大物であることを確認してください。検証手段がなかったので、翌日同意しました。
次に言うことはありませんが、空間のダイナミクスは彼の多くの情報を簡単に公開し、過去のおおよその位置を取得するために特別な建物の場所を特定し、半年前に彼が通知を送信した空間に目を向けました彼の携帯電話番号を変更するには、スペースのコメントを見てください、誰もが彼をラオスと呼んでいます。
これまでに入手した情報を整理するには、次のようにします。
携帯電話番号、おおよその場所、生年月日、姓。
取得した携帯電話番号を使用してAlipayに送金し、名前を確認して、名前のフルネームを取得できるかどうかを確認します。
確認の結果、名には2文字しか含まれていないことがわかりました。以前に名前を知っていました。確認中に名前が表示されました。名前を入力してみましょう。
次に、携帯電話番号で検索したところ、Weiboアカウントがあることがわかり、Weiboアカウントのデータ列に別の誕生日が表示されました。このWeiboは正しく、qqデータカードは偽物であると推測しました。
SFZの波を推測する準備をしてください。そのときの推測プロセスは次のとおりです。ハッカーの基本的なエリアはハッカーの生活写真の建物を見て決定されたため、XXタウンのSFZ市外局番を使用しました。 SFZの前線を建設するXX郡、XX州の一部では、市外局番が51****生年月日のWeiboプロファイルに書かれた19911023であることがわかりました。 、SFZの17桁目が奇数であると判断できます。17桁目の範囲は次のとおりです。1-3-5-7-9これらの4つの数字、最後の桁の範囲は次のとおりです。0-1-2-3-4-5-6-7-8-9-10これがあります11の数字で、15桁目と16桁目は0から9までの10の数字です。そのため、列挙型の検証にAliのSFZ実名認証APIを使用する予定です。
最後に、バッチブラスト用のスクリプトを作成し、実際のSFZとのマッチングに成功しました。
import urllib,urllib2,sysimport sslhost = 'https://idcard.market.alicloudapi.com'path = '/lianzhuo/idcard'method = 'GET'appcode = '2e1ac42e**************4f8258e438'querys = 'cardno=5*****19911023'name = '&name=*****'bodys = {}for i in range(5000):url = host + path + '?' + querys + str(i) + namerequest = urllib2.Request(url)request.add_header('Authorization', 'APPCODE ' + appcode)ctx = ssl.create_default_context()ctx.check_hostname = Falsectx.verify_mode = ssl.CERT_NONEresponse = urllib2.urlopen(request, context=ctx)content = response.read()if (content):print(content)
結局、この人物にロックされていると見なすことができます。作業を終了する前に、取得した情報を整理し、ハッカーのポートレートを分析します。
姓名:徐*性别:男年龄:29家庭地址:**省**市**县**镇**手机号码:1**********出生年月:19911023SFZ:5*****19911023****
要約する
1.機密性の高いサービスの中には、パブリックネットワークサーバーに簡単に配置できないものや、安全に配置する必要があるものがあります。
2.トレーサビリティ分析では、パペットマシンに遭遇した場合、その使用方法を検討することができます。
3.データベースのパスワードハッシュ値を取得し、機密情報を検索します。
4.ソーシャルワーククエリ:Google検索、QQデータ、注意深い相関分析。