服务器被入侵了?反手溯源出入侵者画像【网络安全】

image.png

前序

手机上发来服务器被入侵的消息,这令人感到一脸懵,这个服务器也不是啥重要东西,上面啥也没有怎么还会被搞?被人搞了那也不能示弱了,

排查后门

开机进行分析。一登陆进服务器就想起来了之前做测试的时候直接在服务器上搭了个文件上传的靶场,就很难受了,这就是自作自受啊~~。没办法,只好先找马吧。首先就在upload的文件夹下发现了木马后门,然后查看隐藏文件时还发现了一个“不死马”。

image

又仔细看了下shell.php,这是个PHP的冰蝎马,这要进行流量分析肯定也溯源不回去啊,操作流量都是加密的。再看那个.config.php妥妥的“不死马”,删了还会再生。接下来肯定也溯源不回去啊,操作流量都是加密的。再看那个.config.php妥妥的“不死马”,删了还会再生。

  • 1.创建一个和不死马生成的马一样名字的目录。
  • 2.编写一个使用ignore_user_abort(true)函数的脚本,一直竞争写入删除不死马文件,其中usleep()的时间必须要小于不死马的usleep()时间才会有效果。
  • 3.在具有高权限时,重启Apache直接删除即可。
  • 4.如果没有权限重启就kill掉www-data用户的所有子进程。

虽然有权限,但是还是觉得单独清理www-data下的子进程能好一些,执行命令:

ps aux | grep www-data | awk '{print $2}' | xargs kill -9

然后再rm -f .config.php就清除了“不死马”。

反击溯源

清除了后门后,又好一顿检查应该是没有问题了。就想着能不能溯源找到这个黑客呢,首先看了下history历史记录,又看了下Apache日志记录。他竟然给删了。好吧,但是也只能说这个黑客有点背,这本就是平时做测试用的服务器,之前用这个服务器做测试的时候给好几个文件加过一个流量监控的WAF,打开WAF生成的日志记录,还真的抓取到了它攻击的记录,捕获到了它的IP。

image
image

拿着这个IP放到微步在线进行一番查询,很久之前就被人标记为是个傀儡机了,看来是个老油条了。

攻克傀儡机

【→所有资源关注我,可点击查看获取←】
1、网络安全学习路线
2、电子书籍(白帽子)
3、安全大厂内部视频
4、100份src文档
5、常见安全面试题
6、ctf大赛经典题目解析
7、全套工具包
8、应急响应笔记

知道目标机器后拿出nmap进行一波扫描,发现目标的3306端口竟然暴露出来了,而80端口访问页面也什么东西没有。

image

然而第一时间并没有考虑SSH弱密码和Mysql弱密码的事,因为基本很少碰到过。同时根据微步查询的结果判断,所以第一时间就猜想这个网站上一定“万马奔腾”,于是就祭出了改装扫描工具对其进行探测,结果还真存在马。这里使用的是改装过的dirsearch,在它的配置字典里加上了一些常见后门命名。

image

从扫描结果看除了这两个存在的马之外还有个2.php,访问后页面都是空白,那八成确定就是某个黑客遗留的小马后门了,于是自己写了个小脚本对这几个后门依次进行探测,首先上网找了个后门密码字典,然后载入这个黑客之前种的马的密码,最终利用脚本如下:

Import requests
url = "http://ip/bgdoor.php"#后门地址
dict = open('后门密码字典.txt','r')
dict_list = dict.readlines()
print("[+] 请选择木马类型 1.GET 2.POST")
type = input("")
if int(type)==1:
for i in dict_list:
data = {i.strip():'phpinfo();'}
res = requests.get(url,data)
if '$_SERVER' in res.text:
print(i.strip())
if int(type)==2:
for i in dict_list:
data = {i.strip():'phpinfo();'}
res = requests.post(url,data)
if '$_SERVER' in res.text:
print(i.strip())
image

和种的马密码是相同的,那接下来就骑着他的马打他吧

社工艺术黑手画像

蹭上马后,进去就是一番翻箱倒柜,因为前面的端口探测,知道存在MySQL的服务,当时的想法就是找到MySQL的登录密码。所以第一时间进去后就开始寻找MySQL的目录位置去寻找user.MYD文件,最终找到该文件的路径为:D:\MySQL\data\mysql\user.MYD。而找这个文件是因为其中保存着用户数据库登录的用户名和密码哈希值。打开后看到用户名就是root。

image

而对于该文件的密码哈希的获取我这样来解释,首先存在*这就代表该密码的哈希长度一定是40位,而该文件开头部分存在四段不同的密码哈希,将每一段单独提出,找到其中两段是26位和14位,拼接到一起刚好40位,即为MySQL登录的密码哈希值。得到密码哈希值后送到cmd5网站就是一波破解。

image

破解后得到了密码结果,这个密码应该也算得上是个弱口令了,就是不太常用,反正cmd5库里存在,这里就不再吐槽了。然后用得到用户名和密码就轻车熟路的进入了数据库。

进去后看了看这个数据库,里面的内容较少,看样子应该也不常用。不过我还是在一番仔细寻找后找到点东西,密码就不打码了,md5解密后就是“123456”,应该是注册人当时随便注册的吧,但是前面的user和mail得打码了,这俩信息有点意思。如下图所示。

image

拿到user值,看样子注册的时候应该是他的网络常用ID,但是不确定这个ID是这台机器原本主人留下的,还是这个黑客留下的。于是就谷歌了一下这个ID,信息不是很多,但是存在一个作废的博客。再看下这个QQ,尝试加了下好友,发现这明显就是一个小号,空间内容就更新过一两次还多是广告。

image

再看看这小号的第一条说说,什么QQ飞车荣誉殿堂之类的,好像还可以帮忙刷Q币,但看样子也都是好久之前的信息了。这么一看就感觉好像是那个黑服务器的人,多少有点野路子。然后本着继续探索的心理,我加了他一下QQ,结果好几天没个回复,估计这号他都要作废了吧。没办法回到那个废弃的博客上,再研究研究吧。

这个博客是常见的WordPress,那么常规操作:网址后加上/wp-admin找后台,访问存在这个路径后台,地址没有修改,然后WordPress的默认用户名是admin,那么接下来就是密码字典生成了,因为之前MySQL数据库也弄到一个密码,再把他的常用ID用社工库查了一下得到了一个旧密码,但是不确定是不是他的。最后结合它的ID历史密码和Mysql登录密码,利用社工密码字典生成工具生成了一个组合密码字典,掏出BurpSuite就是一把梭。

image

看到结果心里笑出了声,登录进去就看到了邮箱地址确认提示,这个邮箱还是个QQ邮箱,这下应该就是黑客的大号了。

image

然后又尝试加了下好友,至少确定这是个常用号,一个SVIP的大佬。因为也没有什么验证措施,所以第二天就同意了。

image

接下来就没啥可说的了,空间动态轻松的就暴露了他的大量信息,定位特殊的建筑物位置得到曾经去过的大概的位置,还翻到半年前曾在空间发通知换了手机号,再看空间留言,大家都叫他老徐。

整理一下目前得到的信息:

手机号码、大概位置、出生年月日、姓氏。

利用得到的手机号去支付宝进行转账,然后对姓名进行校验,看看能不能得到名字全称。

校验时发现名字只有两个字,姓氏前面我们已经知道了,校验时提示出的是名字,让填姓氏,我们填入"徐"姓,校验通过,得到完整的姓名。

接着拿着手机号去搜索了一番,发现存在一个微博账号,在微博账号的资料栏里又得到了一个生日,猜想微博这个才是正确的,qq资料卡的为假的。

image

准备猜测一波SFZ,以下是当时的猜解过程:因为前面通过查看黑客的生活照中的建筑物确定了黑客的基本地区,我们利用XX省XX县XX镇的SFZ地区号来构造一下SFZ前面的部分,通过查询发现地区号码为51****,出生年月日就用微博资料里写的19911023,只有后四位不确定,因为黑客是男性,所以可以确定SFZ第17位是奇数。第17位范围是:1-3-5-7-9 这4个数字,而最后一位的范围是:0-1-2-3-4-5-6-7-8-9-10这11个数字,第15和第16位则是0~9这10个数字。于是准备利用阿里的SFZ实名认证api进行枚举验证。

最终写了个脚本批量爆破,成功匹配到真实的SFZ。

import urllib,urllib2,sysimport sslhost = 'https://idcard.market.alicloudapi.com'path = '/lianzhuo/idcard'method = 'GET'appcode = '2e1ac42e**************4f8258e438'querys = 'cardno=5*****19911023'name = '&name=*****'bodys = {}for i in range(5000):url = host + path + '?' + querys + str(i) + namerequest = urllib2.Request(url)request.add_header('Authorization', 'APPCODE ' + appcode)ctx = ssl.create_default_context()ctx.check_hostname = Falsectx.verify_mode = ssl.CERT_NONEresponse = urllib2.urlopen(request, context=ctx)content = response.read()if (content):print(content)
image

到最后可算是锁定到这个人了,收工前再梳理一下得到的信息,分析黑客人物画像:

姓名:徐*性别:男年龄:29家庭地址:**省**市**县**镇**手机号码:1**********出生年月:19911023SFZ:5*****19911023****

总结

1、一些敏感业务不要轻易放到公网服务器上,放上一定要做好安全。

2、在溯源分析时,遇到傀儡机可以考虑下蹭马利用的方式。

3、数据库密码哈希值获取,搜寻敏感信息。

4、社工查询:谷歌搜索、QQ资料、细心关联分析。

©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 213,417评论 6 492
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 90,921评论 3 387
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 158,850评论 0 349
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 56,945评论 1 285
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,069评论 6 385
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,188评论 1 291
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,239评论 3 412
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 37,994评论 0 268
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,409评论 1 304
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 36,735评论 2 327
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 38,898评论 1 341
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 34,578评论 4 336
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,205评论 3 317
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 30,916评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,156评论 1 267
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 46,722评论 2 363
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 43,781评论 2 351

推荐阅读更多精彩内容