0x01 工作背景：

1、 某廳級(jí)部門(mén)政府站點(diǎn)被篡改

2、 上級(jí)主管部門(mén)安全通告

3、 配合該部門(mén)查明原因限期整改

0x02 工作記錄：

1、 信息收集

A、首先到機(jī)房了解了一下拓?fù)鋱D，大概就是：互聯(lián)網(wǎng)-防火墻-web應(yīng)用防火墻-防篡改-DMZ服務(wù)器區(qū)；

B、然后了解了一下web應(yīng)用程序架構(gòu)，大概就是：3臺(tái)服務(wù)器里面1臺(tái)跑iis中間件1臺(tái)跑sqlserver2008數(shù)據(jù)庫(kù)，站庫(kù)分離，服務(wù)器性能比較好，1臺(tái)syslog服務(wù)器接收日志；

C、網(wǎng)站屬于.net開(kāi)發(fā)，之前加固過(guò)：

a、后臺(tái)限制IP訪問(wèn)，

b、FCKEDITOR上傳目錄禁止執(zhí)行，

c、sqlserver數(shù)據(jù)庫(kù)降低權(quán)限使用network service并且關(guān)閉cmdshell等高危組件。

2、 訪談管理員

A、與管理員溝通得知某個(gè)HTML頁(yè)面被黑客篡改了一些不好的內(nèi)容，查看數(shù)據(jù)庫(kù)日志以及數(shù)據(jù)庫(kù)中記錄的網(wǎng)站操作記錄分析判斷不屬于后臺(tái)管理員修改；

B、查看web應(yīng)用防火墻日志的時(shí)候發(fā)現(xiàn)并未記錄任何日志，訪談得知機(jī)房防火墻壞掉了，就變動(dòng)了一下線路，所有請(qǐng)求web服務(wù)器的用戶都不會(huì)經(jīng)過(guò)web應(yīng)用防火墻，相當(dāng)于就是個(gè)擺設(shè)；

C、FCKEDITOR編輯器任意上傳漏洞早在2013年就已經(jīng)存在，當(dāng)時(shí)開(kāi)發(fā)商沒(méi)有歷史源代碼無(wú)法升級(jí)采用web應(yīng)用防火墻+IIS限制執(zhí)行權(quán)限方法；

D、2013年湖南省金盾信息安全測(cè)評(píng)中心的信息安全等級(jí)保護(hù)測(cè)評(píng)報(bào)告提出的整改建議甲方不知道如何整改就沒(méi)有整改到位。

3、 情況分析

在初步了解完情況以后，對(duì)web目錄進(jìn)行可疑文件篩選：

（黑客所放置的后門(mén)程序，文件修改時(shí)間被偽裝）

（webshell內(nèi)容，變異的一句話）

（通過(guò)FCKEDITOR編輯器上傳的一句話木馬文件初步判斷為2014年6月30日黑客攻擊）

初步判斷為FCKEDITOR編輯器被黑客利用了，接下來(lái)對(duì)iis 36GB日志進(jìn)行壓縮打包：

（成功打包網(wǎng)站日志）

（以webshell路徑做為篩選條件初步快速?gòu)?3GB日志文件內(nèi)找出所有可疑IP地址以及時(shí)間）

入侵手段分析：最終分析得知最早黑客攻擊利用 Common/UpLoadFile.aspx文件上傳了ASPX木馬文件在common/201406/20140619183500432547.aspx，

此上傳功能并未調(diào)用FCKEDITOR編輯器，之前加固限制FCKEDITOR編輯器上傳文件執(zhí)行權(quán)限成功阻止了黑客利用該漏洞

黑客通過(guò) /common/201406/20140619183500432547.aspx文件寫(xiě)入了/userspace/enterprisespace/MasterPages.aspx一句話木馬文件，

后續(xù)相繼寫(xiě)入了之前掃描出的可疑ASPX文件，成功固定了黑客入侵手段、時(shí)間、IP地址、綜合分析在服務(wù)器的操作記錄，由于綜合分析操作記錄部分涉及到該單位隱私信息不便公開(kāi)

4、 反向滲透取證定位

在對(duì)3個(gè)月內(nèi)日志仔細(xì)分析發(fā)現(xiàn)幾個(gè)可疑的重慶和廣東5個(gè)IP地址中113...173并未攻擊成功，其他4個(gè)IP地址為1人或者1個(gè)團(tuán)伙所使用IP地址：

（黑客利用FCKEDITOR編輯器漏洞成功建立了a.asp文件夾嘗試?yán)肐IS解析漏洞，但是由于IIS中進(jìn)行過(guò)安全配置以及IIS7.5已經(jīng)修補(bǔ)該解析漏洞入侵并未成功，故忽略）

對(duì)剩余的4個(gè)IP地址仔細(xì)分析發(fā)現(xiàn)61...181屬于一個(gè)黑客使用的windows服務(wù)器：

（對(duì)該服務(wù)器進(jìn)行收集得知操作系統(tǒng)為windows2003，瀏覽器ie8.0，綁定域名www.**dns.cn）

接下來(lái)對(duì)該服務(wù)器進(jìn)行滲透測(cè)試，目的拿下其服務(wù)器獲取黑客使用該服務(wù)器做跳板的日志以及黑客的真實(shí)IP地址，對(duì)其進(jìn)行端口掃描結(jié)果：

PORT      STATE    SERVICE         VERSION80/tcp    open     http            Microsoft IIS httpd 6.0808/tcp   open     http            Microsoft IIS httpd 6.01025/tcp  open     msrpc           Microsoft Windows RPC（可以openvas或者nessus遠(yuǎn)程獲取一些RPC信息）1026/tcp  open     msrpc           Microsoft Windows RPC（可以openvas或者nessus遠(yuǎn)程獲取一些RPC信息）1311/tcp  open     ssl/http        Dell PowerEdge OpenManage Server Administrator httpd admin(通過(guò)HTTPS協(xié)議訪問(wèn)后了解到計(jì)算機(jī)名稱(chēng)為EASYN-9D76400CB ，服務(wù)器型號(hào)PowerEdge R610)1723/tcp  open     pptp            Microsoft (黑客用做跳板開(kāi)放的PPTP VPN服務(wù)器)3029/tcp  open     unknown8888/tcp  open     sun-answerbook?10000/tcp open     ms-wbt-server   Microsoft Terminal Service（遠(yuǎn)程桌面服務(wù)，進(jìn)行分析判斷時(shí)發(fā)現(xiàn)存在黑客安裝的shift后門(mén)）

（黑客的shift后門(mén)真逗，竟然不使用灰色按鈕，偽裝失敗，肉眼直接識(shí)別是后門(mén)）

接下來(lái)確定滲透思路為：

A、使用漏洞掃描設(shè)備掃描主機(jī)漏洞以及每個(gè)端口存在的弱口令；

B、對(duì)shift后門(mén)有著多年爆菊花經(jīng)驗(yàn)，進(jìn)行類(lèi)似于xss盲打，用鼠標(biāo)點(diǎn)擊每個(gè)角落或者同時(shí)按住ctrl+alt+shift來(lái)點(diǎn)擊，最后嘗試每個(gè)按鍵以及常用組合鍵；

C、通過(guò)1311端口的HTTPS可以對(duì)windows管理員進(jìn)行暴力破解；

D、從80端口綁定的站點(diǎn)進(jìn)行web滲透。

運(yùn)氣還不錯(cuò)，找到一個(gè)顯錯(cuò)注入點(diǎn)直接sa權(quán)限：

（SQL2008顯錯(cuò)注入成功）

（測(cè)試SA可以執(zhí)行cmdshell，但是權(quán)限為網(wǎng)絡(luò)服務(wù)，無(wú)法直接添加命令，還需要提權(quán)）

思考后覺(jué)得數(shù)據(jù)庫(kù)與網(wǎng)站都屬于network service，應(yīng)該可以通過(guò)數(shù)據(jù)庫(kù)寫(xiě)文件到網(wǎng)站根目錄，然后連接菜刀提權(quán)進(jìn)入服務(wù)器：

（通過(guò)顯錯(cuò)得知了網(wǎng)站根目錄，然后利用echo命令寫(xiě)入shell成功）

（webshell連接成功，運(yùn)氣真好?。?/p>

（從web.config文件中找到明文數(shù)據(jù)庫(kù)sa超級(jí)管理員用戶密碼）

（iis6提權(quán)成功）

（明文管理員密碼讀取成功）

（進(jìn)入服務(wù)器分析殺毒軟件歷史日志，得知黑客入侵手法）

（查看VPN配置信息取出日志，順便了解到該服務(wù)器220天沒(méi)有重啟了，真牛。。。）

（提取出存在于系統(tǒng)中的shift后門(mén)）

繼續(xù)向下分析，黑客是否種植遠(yuǎn)程控制木馬或者其他rootkit：

（系統(tǒng)服務(wù)中發(fā)現(xiàn)異常服務(wù)項(xiàng)為遠(yuǎn)程控制木馬，爆破1組準(zhǔn)備）

（小樣，默認(rèn)還設(shè)置了注冊(cè)表不允許administrators組無(wú)權(quán)限）

（定位到木馬的DLL，提取并固定到入侵證據(jù)中）

（黑客慣用手法，偽裝與正常ASPX程序相關(guān)文件名，修改文件時(shí)間，就連webshell代碼都是那么幾個(gè)一模一樣的） 后續(xù)還發(fā)現(xiàn)黑客添加成功asp.net用戶，但是沒(méi)有種植驅(qū)動(dòng)級(jí)后門(mén)，當(dāng)前也并未發(fā)現(xiàn)其他后門(mén)。綜合系統(tǒng)日志、IIS日志、webshell、逆向分析shift后門(mén)以及遠(yuǎn)程控制木馬結(jié)果、數(shù)據(jù)庫(kù)日志、防火墻日志等判斷出黑客是重慶的XXX，這里就不提這些了。

以上內(nèi)容僅供技術(shù)交流參考，歡迎大家與我互相交流，同時(shí)請(qǐng)關(guān)注長(zhǎng)沙雨人網(wǎng)安的專(zhuān)業(yè)安全團(tuán)隊(duì)。