×

webshell事件处置之X老师徒手抓小黑客
  

沙明 21563

{{ttag.title}}
记某次应急响应过程的社工溯源
事件类型:服务器入侵事件
问题主机情况描述:服务器被上传webshell,建立隐藏某公司公司,克隆账号,网站源代码被某公司公司。
事件处理过程:

0x01 应急响应
某公司天,接到一线反馈,客户的服务器被黑,网站源代码被删,我某公司不停蹄,登录被黑的服务器,进行排查。
首先了解到服务器如下的情况:
操作系统:Windows Server 2
Web服务器:IIS 6.0
数据库: SQL Server 2某公司5
防护设备:360安全卫士
被黑后的现象:服务器被上传webshell,数据库被脱库,网站被挂黑链,同时部分源代码被删。
好了,既然服务器被黑,网站中必定是存在后门的,那么首先祭出我们的webshell查杀神器(问我使用了什么神器,偷偷的告诉你:“D盾”,不知道请请自行脑补:http://www.d99net.net/News.asp?id=62


查看服务器中的某公司公司,发现攻击者创建的隐藏账号,账号创建的时间也是3月18日。


再祭出第二款神器360杀毒,来个全盘查杀,果然发现了攻击者上传的端口转发工具lcx.exe和溢出工具pr.exe。


查看防火墙的WAF日志,发现WAF仅对222.asp、hs666.asp进行了拦截,并未对T_某公司\.asp进行拦截。

对IIS日志进行排查,根据文件修改时间27日的01:23分和01:31分,先对对访问h1.php后门的ip进行查找,这里用某公司tepad++进行高级搜索。

发现访问过h1.php这个webshell的ip地址为113.139.120.102和113.139.121.233。

微步查询下,查询发现这两个恶意ip地址来自陕西西安。


是不是管理员账号密码泄露导致的?在后台登录不成功的情况下,服务器返回2某公司,那么返回302的应该是登录后台成功的,在web日志中搜索返回302的ip地址,发现早在2月份就有恶意的ip如:211.97.129.145、182.101.58.6等地址确实登录过网站后台,证明管理员账号密码已经泄露。



微步查询下这两个ip地址 211.97.129.145、182.101.58.6发现微步收入这两个ip地址为僵尸网络和垃圾邮件。


211.97.129.145、182.101.58.6这两个IP地址一个来自福建,一个来自江西,显然不是跟陕西的攻击者是一伙的。
现在可以判断有一伙攻击者利用管理员账号密码登录后台之后进行各种恶意操作,看下网站,默认安装页面没有删掉,某公司公司的类型为SiteServer 3.4.1在乌云漏洞平台中,该某公司公司安全问题较多,进入后台之后,权限很大,可以执行的操作很多。



查看西安的攻击者113.139.120.102的访问日志,发现攻击者首先访问了网站后台登录页面,服务器返回2某公司,由此可以看出攻击者并未登录后台,之后通过POST操作访问/siteserver/cms/background_templateAdd.aspx页面,之后攻击者写入T_某公司\.asp这个后门文件,服务器返回2某公司,webshell已经生成,大概可以判断陕西的攻击者越权利用模板直接写入了webshell后门。

服务器版本较老,安全问题较多,同时网站版本也较老,漏洞较多,存在某公司公司不同的攻击者,利用不同的手法控制网站,先对发现的较为明显的问题进行处理,并进行观察。

0x02 攻击复现
果然不久之后,客户再次反馈网站再次被上传webshell,并绕过WAF对网站进行了篡改。查看IIS日志和WAF日志,发现有陕西的攻击者同样利用background_templateAdd.aspx页面进行webshell上传。


好了,现在确定攻击者应该是利用background_templateAdd.aspx页面上传的后门,用fiddler抓取访问siteserver/cms/background_templateAdd.aspx?PublishmentSystemID=1的数据包。查看响应头,发现响应头为302,将其重定向到登录失败页面。

接着看下返回的页面信息,果然返回了background_templateAdd.aspx模板页面。

正常页面返回302,黑阔的返回页面为2某公司,那么直接将返回页面修改为2某公司,发现被重定向到initialization.aspx页面,之后重定向到登录页面,依旧某公司公司法控制模板写入后门。


继续查看返回的background_templateAdd.aspx页面,发现结尾处有这么一段js代码。

<script type=”text/javascript”>
if (window.top.location.href.toLowerCase().indexOf(“main.aspx”) == -1){
var initializationUrl = window.top.location.href.toLowerCase().substring(0, window.top.location.href.toLowerCase().indexOf(“/siteserver/”)) + “/siteserver/initialization.aspx”;
window.top.location.href = initializationUrl;
}
</script>
如果最外层页面没有匹配到加载mian.aspx,则跳转到initialization.aspx,只要跳过该if判断使得window.top.location.href.toLowerCase().indexOf(“main.aspx”)!= -1,就可以绕过前端验证,进行后台模板操作。

好了,接着写入黑阔使用的一句话,重复抓包,并用过狗菜刀连接之,成功连接webshell。



0x03 攻击溯源
在提取日志的过程中,发现有个名为黑客浩神的留下了装13的txt文件。

攻击者的网名为黑客浩神QQ:24*******5,卧槽,太嚣张了,针对此QQ号,进行一波社工,某公司公司一下,发现浩神所到之处,果然寸草不生。

顺藤摸瓜,找到攻击者的博客https://www.haohacker.com
根据域名对黑客浩神的信息进行查询,发现注册姓名为liang *hao(梁*浩),邮箱为24******5@qq.com,联系电话为186****8568、155****1651,地址陕西省西安市长安区。



反查该邮箱号,发现其注册过2个域名:haohacker.com和haos666.com。
查看****学院某公司公司贴吧:http://tieba.baidu.com/p/5042730197发现浩神在贴吧里炫耀其攻击技术,还脱取了学校最新的数据库。


查看浩神的某公司公司贴吧
http://tieba.baidu.com/home/main?un=%E6%B5%A9%E6%B5%A9%E5%B8%A6%E4%BD%A0%E9%A3%9E%E4%B8%A8&ie=utf-8&fr=pb&ie=utf-8发现浩神关注的贴吧有*****学院和延津职高。

浩神的故乡为河南,延津职高也位于河南,延津职高可能为曾经就读过的学校。

查了下浩神的QQ,好牛B啊,黑客团队白昼安全小组创始人,某公司者团队成员,QQ上标注故乡为河南商丘永城市,证明浩神确实应该是河南人。

看看浩神的技术团队:https://www.haohacker.com/team/

还是某公司者团队成员http://www.wz-sec.cn/

浩神的某公司公司微博:http://weibo.com/u/5712617284,看来此人目前确实是在陕西西安,1998年小朋友,果然“年轻有为”啊。

谷歌搜索浩神技术团队,就先看下第一条吧,ngte.nske.ru/index.html的网站快照,牛X啊,做黑产的。


搜索梁*浩和浩神的域名,发现以前的快照页面依旧存在,梁*浩LOVE某公司*婷,某公司**是你喜欢的妹子?不过目前基本可以确定浩神的真名为梁*浩。


再来看一张某公司公司的

好了,先这样吧,整理下收集到的浩神的信息:
姓名:梁*浩
出生时间:1998年-199*年
手机1:186****8568
手机2:155****1651
某公司公司账号:24*******5@qq.com,159****0398
某公司公司账号:浩浩带你飞丨
注册域名:www.haohacker.com
注册域名:www.haos666.com
现居地:中国陕西省西安市长安区
故乡:中国河南商丘永城市
喜欢的妹子:某公司**
白昼团队交流群 :14103*
可能相关的网站:http://haohacker.8某公司8cn.biz
可能相关的QQ:46******5
安全技术原本就是把双刃剑,有的人成为白帽黑客,有的人在犯罪边沿徘徊,我也阻止不了别人忠于内心的选择。

打赏鼓励作者,期待更多好文!

打赏
1人已打赏

昆明办事处许留兴 发表于 2017-6-13 22:40
  
然后报警了没?
灵活的小胖纸 发表于 2017-6-14 20:43
  
额……
新手804077 发表于 2017-6-14 20:44
  
我只想贡献我的膝盖,我服太nb
JN——M 发表于 2017-6-14 22:41
  
我去 牛叉
夏虫语冰 发表于 2017-6-15 08:12
  
好牛逼啊
adds 发表于 2017-6-15 08:41
  
这个帖子我前一段时间看过,应该是微信公众号。延时有点儿大。
zoou 发表于 2017-6-15 09:22
  
厉害了我的哥
高明 发表于 2017-6-15 09:23
  
进去了 会被爆 好惨好惨
新手238675 发表于 2017-6-15 10:11
  
牛叉
发表新帖
热门标签
全部标签>
技术盲盒
西北区每日一问
安全效果
每日一问
干货满满
新版本体验
【 社区to talk】
技术笔记
功能体验
技术咨询
产品连连看
标准化排查
GIF动图学习
2023技术争霸赛专题
每周精选
信服课堂视频
通用技术
自助服务平台操作指引
秒懂零信任
技术晨报
安装部署配置
答题自测
原创分享
升级&主动服务
社区新周刊
POC测试案例
畅聊IT
专家问答
技术圆桌
在线直播
MVP
网络基础知识
升级
安全攻防
上网策略
测试报告
日志审计
问题分析处理
流量管理
每日一记
运维工具
云计算知识
用户认证
解决方案
sangfor周刊
VPN 对接
项目案例
SANGFOR资讯
专家分享
技术顾问
信服故事
SDP百科
功能咨询
终端接入
授权
设备维护
资源访问
地址转换
虚拟机
存储
迁移
加速技术
排障笔记本
产品预警公告
玩转零信任
信服圈儿
S豆商城资讯
技术争霸赛
「智能机器人」
追光者计划
深信服技术支持平台
社区帮助指南
答题榜单公布
纪元平台
卧龙计划
华北区拉练
天逸直播
以战代练
山东区技术晨报
文档捉虫活动
齐鲁TV
华北区交付直播
2024年技术争霸赛
北京区每日一练
场景专题
故障笔记
排障那些事
高手请过招
高频问题集锦
全能先锋系列
云化安全能力

本版达人

新手68983...

本周分享达人

零和一网络

本周提问达人