分享資訊保安工作小記

0x01 工作背景：

---

1、 某廳級部門政府站點被篡改

2、 上級主管部門安全通告

3、 配合該部門查明原因限期整改

0x02 工作記錄：

---

1、 資訊收集

A、首先到機房瞭解了一下拓撲圖，大概就是：網際網路-防火牆-web應用防火牆-防篡改-DMZ伺服器區；

B、然後瞭解了一下web應用程式架構，大概就是：3臺伺服器裡面1臺跑iis中介軟體1臺跑sqlserver2008資料庫，站庫分離，伺服器效能比較好，1臺syslog伺服器接收日誌；

C、網站屬於.net開發，之前加固過：

a、後臺限制IP訪問，

b、FCKEDITOR上傳目錄禁止執行，

c、sqlserver資料庫降低許可權使用network service並且關閉cmdshell等高危元件。

2、 訪談管理員

A、與管理員溝通得知某個HTML頁面被駭客篡改了一些不好的內容，檢視資料庫日誌以及資料庫中記錄的網站操作記錄分析判斷不屬於後臺管理員修改；

B、檢視web應用防火牆日誌的時候發現並未記錄任何日誌，訪談得知機房防火牆壞掉了，就變動了一下線路，所有請求web伺服器的使用者都不會經過web應用防火牆，相當於就是個擺設；

C、FCKEDITOR編輯器任意上傳漏洞早在2013年就已經存在，當時開發商沒有歷史原始碼無法升級採用web應用防火牆+IIS限制執行許可權方法；

D、2013年湖南省金盾資訊保安測評中心的資訊保安等級保護測評報告提出的整改建議甲方不知道如何整改就沒有整改到位。

3、 情況分析

在初步瞭解完情況以後，對web目錄進行可疑檔案篩選：

（駭客所放置的後門程式，檔案修改時間被偽裝）

（webshell內容，變異的一句話）

（透過FCKEDITOR編輯器上傳的一句話木馬檔案初步判斷為2014年6月30日駭客攻擊）

初步判斷為FCKEDITOR編輯器被駭客利用了，接下來對iis 36GB日誌進行壓縮打包：

（成功打包網站日誌）

（以webshell路徑做為篩選條件初步快速從33GB日誌檔案內找出所有可疑IP地址以及時間）

入侵手段分析：最終分析得知最早駭客攻擊利用 Common/UpLoadFile.aspx檔案上傳了ASPX木馬檔案在common/201406/20140619183500432547.aspx，

此上傳功能並未呼叫FCKEDITOR編輯器，之前加固限制FCKEDITOR編輯器上傳檔案執行許可權成功阻止了駭客利用該漏洞

駭客透過 /common/201406/20140619183500432547.aspx檔案寫入了/userspace/enterprisespace/MasterPages.aspx一句話木馬檔案，

後續相繼寫入了之前掃描出的可疑ASPX檔案，成功固定了駭客入侵手段、時間、IP地址、綜合分析在伺服器的操作記錄，由於綜合分析操作記錄部分涉及到該單位隱私資訊不便公開

4、 反向滲透取證定位

在對3個月內日誌仔細分析發現幾個可疑的重慶和廣東5個IP地址中113...173並未攻擊成功，其他4個IP地址為1人或者1個團伙所使用IP地址：

（駭客利用FCKEDITOR編輯器漏洞成功建立了a.asp資料夾嘗試利用IIS解析漏洞，但是由於IIS中進行過安全配置以及IIS7.5已經修補該解析漏洞入侵併未成功，故忽略）

對剩餘的4個IP地址仔細分析發現61...181屬於一個駭客使用的windows伺服器：

（對該伺服器進行收集得知作業系統為windows2003，瀏覽器ie8.0，繫結域名www.**dns.cn）

接下來對該伺服器進行滲透測試，目的拿下其伺服器獲取駭客使用該伺服器做跳板的日誌以及駭客的真實IP地址，對其進行埠掃描結果：

PORT      STATE    SERVICE         VERSION
80/tcp    open     http            Microsoft IIS httpd 6.0
808/tcp   open     http            Microsoft IIS httpd 6.0
1025/tcp  open     msrpc           Microsoft Windows RPC（可以openvas或者nessus遠端獲取一些RPC資訊）
1026/tcp  open     msrpc           Microsoft Windows RPC（可以openvas或者nessus遠端獲取一些RPC資訊）
1311/tcp  open     ssl/http        Dell PowerEdge OpenManage Server Administrato
r httpd admin(透過HTTPS協議訪問後瞭解到計算機名稱為EASYN-9D76400CB ，伺服器型號PowerEdge R610)
1723/tcp  open     pptp            Microsoft (駭客用做跳板開放的PPTP VPN伺服器)
3029/tcp  open     unknown
8888/tcp  open     sun-answerbook?
10000/tcp open     ms-wbt-server   Microsoft Terminal Service（遠端桌面服務，進行分析判斷時發現存在駭客安裝的shift後門）

（駭客的shift後門真逗，竟然不使用灰色按鈕，偽裝失敗，肉眼直接識別是後門）

接下來確定滲透思路為：

A、使用漏洞掃描裝置掃描主機漏洞以及每個埠存在的弱口令；

B、對shift後門有著多年爆菊花經驗，進行類似於xss盲打，用滑鼠點選每個角落或者同時按住ctrl+alt+shift來點選，最後嘗試每個按鍵以及常用組合鍵；

C、透過1311埠的HTTPS可以對windows管理員進行暴力破解；

D、從80埠繫結的站點進行web滲透。

運氣還不錯，找到一個顯錯注入點直接sa許可權：

（SQL2008顯錯注入成功）

（測試SA可以執行cmdshell，但是許可權為網路服務，無法直接新增命令，還需要提權）

思考後覺得資料庫與網站都屬於network service，應該可以透過資料庫寫檔案到網站根目錄，然後連線菜刀提權進入伺服器：

（透過顯錯得知了網站根目錄，然後利用echo命令寫入shell成功）

（webshell連線成功，運氣真好！）

（從web.config檔案中找到明文資料庫sa超級管理員使用者密碼）

（iis6提權成功）

（明文管理員密碼讀取成功）

（進入伺服器分析防毒軟體歷史日誌，得知駭客入侵手法）

（檢視VPN配置資訊取出日誌，順便了解到該伺服器220天沒有重啟了，真牛。。。）

（提取出存在於系統中的shift後門）

繼續向下分析，駭客是否種植遠端控制木馬或者其他rootkit：

（系統服務中發現異常服務項為遠端控制木馬，爆破1組準備）

（小樣，預設還設定了登錄檔不允許administrators組無許可權）

（定位到木馬的DLL，提取並固定到入侵證據中）

（駭客慣用手法，偽裝與正常ASPX程式相關檔名，修改檔案時間，就連webshell程式碼都是那麼幾個一模一樣的） 後續還發現駭客新增成功asp.net使用者，但是沒有種植驅動級後門，當前也並未發現其他後門。綜合系統日誌、IIS日誌、webshell、逆向分析shift後門以及遠端控制木馬結果、資料庫日誌、防火牆日誌等判斷出駭客是重慶的XXX，這裡就不提這些了。

以上內容僅供技術交流參考，歡迎大家與我互相交流，同時請關注長沙雨人網安的專業安全團隊。