分享信息安全工作小记录怎么写_如何加强信息安全

分享信息安全工作小记录怎么写_如何加强信息安全0x01工作背景:1、某厅级部门政府站点被篡改2、上级主管部门安全通告3、配合该部门查明原因限期整改0x02工作记录:1、信息收集A、首先到机房了解了一下拓扑图,大概就是:互联网-防火墙-web应用防

健宇 · 2014/09/05 16:11

0x01 工作背景:


1、 某厅级部门政府站点被篡改

2、 上级主管部门安全通告

3、 配合该部门查明原因限期整改

0x02 工作记录:


1、 信息收集

A、首先到机房了解了一下拓扑图,大概就是:互联网-防火墙-web应用防火墙-防篡改-DMZ服务器区;

B、然后了解了一下web应用程序架构,大概就是:3台服务器里面1台跑iis中间件1台跑sqlserver2008数据库,站库分离,服务器性能比较好,1台syslog服务器接收日志;

C、网站属于.net开发,之前加固过:

a、后台限制IP访问,

b、FCKEDITOR上传目录禁止执行,

c、sqlserver数据库降低权限使用network service并且关闭cmdshell等高危组件。

2、 访谈管理员

A、与管理员沟通得知某个HTML页面被黑客篡改了一些不好的内容,查看数据库日志以及数据库中记录的网站操作记录分析判断不属于后台管理员修改;

B、查看web应用防火墙日志的时候发现并未记录任何日志,访谈得知机房防火墙坏掉了,就变动了一下线路,所有请求web服务器的用户都不会经过web应用防火墙,相当于就是个摆设;

C、FCKEDITOR编辑器任意上传漏洞早在2013年就已经存在,当时开发商没有历史源代码无法升级采用web应用防火墙+IIS限制执行权限方法;

D、2013年湖南省金盾信息安全测评中心的信息安全等级保护测评报告提出的整改建议甲方不知道如何整改就没有整改到位。

3、 情况分析

在初步了解完情况以后,对web目录进行可疑文件筛选:

enter image description here

(黑客所放置的后门程序,文件修改时间被伪装)

enter image description here

(webshell内容,变异的一句话)

enter image description here

(通过FCKEDITOR编辑器上传的一句话木马文件初步判断为2014年6月30日黑客攻击)

初步判断为FCKEDITOR编辑器被黑客利用了,接下来对iis 36GB日志进行压缩打包:

enter image description here

(成功打包网站日志)

enter image description here

(以webshell路径做为筛选条件初步快速从33GB日志文件内找出所有可疑IP地址以及时间)

enter image description here

入侵手段分析:最终分析得知最早黑客攻击利用 Common/UpLoadFile.aspx文件上传了ASPX木马文件在common/201406/20140619183500432547.aspx,

此上传功能并未调用FCKEDITOR编辑器,之前加固限制FCKEDITOR编辑器上传文件执行权限成功阻止了黑客利用该漏洞

enter image description here

黑客通过 /common/201406/20140619183500432547.aspx文件写入了/userspace/enterprisespace/MasterPages.aspx一句话木马文件,

后续相继写入了之前扫描出的可疑ASPX文件,成功固定了黑客入侵手段、时间、IP地址、综合分析在服务器的操作记录,由于综合分析操作记录部分涉及到该单位隐私信息不便公开

4、 反向渗透取证定位

在对3个月内日志仔细分析发现几个可疑的重庆和广东5个IP地址中113...173并未攻击成功,其他4个IP地址为1人或者1个团伙所使用IP地址:

enter image description here

(黑客利用FCKEDITOR编辑器漏洞成功建立了a.asp文件夹尝试利用IIS解析漏洞,但是由于IIS中进行过安全配置以及IIS7.5已经修补该解析漏洞入侵并未成功,故忽略)

对剩余的4个IP地址仔细分析发现61...181属于一个黑客使用的windows服务器:

enter image description here

enter image description here

(对该服务器进行收集得知操作系统为windows2003,浏览器ie8.0,绑定域名www.**dns.cn)

接下来对该服务器进行渗透测试,目的拿下其服务器获取黑客使用该服务器做跳板的日志以及黑客的真实IP地址,对其进行端口扫描结果:

PORT      STATE    SERVICE         VERSION
80/tcp    open     http            Microsoft IIS httpd 6.0
808/tcp   open     http            Microsoft IIS httpd 6.0
1025/tcp  open     msrpc           Microsoft Windows RPC(可以openvas或者nessus远程获取一些RPC信息)
1026/tcp  open     msrpc           Microsoft Windows RPC(可以openvas或者nessus远程获取一些RPC信息)
1311/tcp  open     ssl/http        Dell PowerEdge OpenManage Server Administrato
r httpd admin(通过HTTPS协议访问后了解到计算机名称为EASYN-9D76400CB ,服务器型号PowerEdge R610)
1723/tcp  open     pptp            Microsoft (黑客用做跳板开放的PPTP VPN服务器)
3029/tcp  open     unknown
8888/tcp  open     sun-answerbook?
10000/tcp open     ms-wbt-server   Microsoft Terminal Service(远程桌面服务,进行分析判断时发现存在黑客安装的shift后门)

enter image description here

(黑客的shift后门真逗,竟然不使用灰色按钮,伪装失败,肉眼直接识别是后门)

接下来确定渗透思路为:

A、使用漏洞扫描设备扫描主机漏洞以及每个端口存在的弱口令;

B、对shift后门有着多年爆菊花经验,进行类似于xss盲打,用鼠标点击每个角落或者同时按住ctrl+alt+shift来点击,最后尝试每个按键以及常用组合键;

C、通过1311端口的HTTPS可以对windows管理员进行暴力激活成功教程;

D、从80端口绑定的站点进行web渗透。

运气还不错,找到一个显错注入点直接sa权限:

enter image description here

(SQL2008显错注入成功)

enter image description here

(测试SA可以执行cmdshell,但是权限为网络服务,无法直接添加命令,还需要提权)

思考后觉得数据库与网站都属于network service,应该可以通过数据库写文件到网站根目录,然后连接菜刀提权进入服务器:

enter image description here

(通过显错得知了网站根目录,然后利用echo命令写入shell成功)

enter image description here

(webshell连接成功,运气真好!)

enter image description here

(从web.config文件中找到明文数据库sa超级管理员用户密码)

enter image description here

(iis6提权成功)

enter image description here

(明文管理员密码读取成功)

enter image description here

(进入服务器分析杀毒软件历史日志,得知黑客入侵手法)

enter image description here

(查看VPN配置信息取出日志,顺便了解到该服务器220天没有重启了,真牛。。。)

enter image description here

(提取出存在于系统中的shift后门)

继续向下分析,黑客是否种植远程控制木马或者其他rootkit:

enter image description here

(系统服务中发现异常服务项为远程控制木马,爆破1组准备)

enter image description here

(小样,默认还设置了注册表不允许administrators组无权限)

enter image description here

(定位到木马的DLL,提取并固定到入侵证据中)

enter image description here

(黑客惯用手法,伪装与正常ASPX程序相关文件名,修改文件时间,就连webshell代码都是那么几个一模一样的) 后续还发现黑客添加成功asp.net用户,但是没有种植驱动级后门,当前也并未发现其他后门。综合系统日志、IIS日志、webshell、逆向分析shift后门以及远程控制木马结果、数据库日志、防火墙日志等判断出黑客是重庆的XXX,这里就不提这些了。

以上内容仅供技术交流参考,欢迎大家与我互相交流,同时请关注长沙雨人网安的专业安全团队。

版权声明:本文内容由互联网用户自发贡献,该文观点仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 举报,一经查实,本站将立刻删除。
转载请注明出处: https://daima100.com/13623.html

(0)

相关推荐

  • Android 自定义 RadioGroup 实现标签选择(动态分行)

    Android 自定义 RadioGroup 实现标签选择(动态分行)Android 自定义 RadioGroup 实现标签选择(动态分行)

    2023-11-05
    120
  • 2020python练习——SQL查询「终于解决」

    2020python练习——SQL查询「终于解决」@2020.5.8 题目: 1、查询所有的课程的名称以及对应的任课老师姓名 2、查询学生表中男女生各有多少人 3、查询物理成绩等于100的学生的姓名 4、查询平均成绩大于八十分的同学的姓名和平均成绩

    2023-02-26
    156
  • Python标准库概览

    Python标准库概览a href=”https://beian.miit.gov.cn/”苏ICP备号-1/a Copyright www.python100.com .Some Rights Reserved.

    2024-07-29
    32
  • Python工程师利用collections.counter实现高效计数

    Python工程师利用collections.counter实现高效计数计数是在数据处理过程中非常常见的任务。常见的例子包括:统计单词频率,统计字母出现次数等。然而在Python中,为了实现这些任务,需要编写相对复杂的代码,并且效率较低。针对这一问题,Python提供了collections模块中的Counter类,用以简化计数任务并提升代码的效率。

    2024-08-13
    28
  • 达梦数据库迁移(三)[通俗易懂]

    达梦数据库迁移(三)[通俗易懂]前言 前面两篇文章,介绍了一些迁移前的准备工作,实现了数据的导入,但是当我将数据导入到DM后,启动了自己的项目,接下来一堆报错接踵而至,总结了一些常见的报错,在这里做个记录。 报错记录 关键字 达梦数

    2023-04-20
    151
  • 如何在Pycharm中设置断点

    如何在Pycharm中设置断点Pycharm是一种用于Python语言开发的集成工具,是Python工程师必不可少的工具之一。一个好的IDE可以帮助开发者更加高效地开发程序,提高工作效率。在程序的调试和测试过程中,调试工具是非常重要的辅助工具。在这里,我们将介绍Pycharm中如何设置断点。

    2024-06-30
    47
  • 使用Python绘制函数曲线

    使用Python绘制函数曲线Python是一个强大的编程语言,不仅能用于各种领域的编程,也能进行数据分析和可视化。本文将介绍如何使用Python绘制函数曲线,可以让读者更好地了解曲线的形状和特征。

    2024-09-12
    24
  • 掌握正则表达式,让Python更强大

    掌握正则表达式,让Python更强大正则表达式是一个十分强大的文本处理工具,通过使用正则表达式,我们可以更加方便、快捷、精确地匹配和处理文本数据。在Python中使用正则表达式,可以让我们的程序变得更加强大。

    2024-01-01
    113

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注