当前位置：首页 > news >正文

Web入侵实战分析-常见web攻击类应急处置实验2

news 2026/2/7 15:33:18

场景说明

某天运维人员，发现运维的公司站点被黑页，首页标题被篡改，你获得的信息如下：

操作系统：windows server 2008 R2业务：公司官网网站架构：通过phpstudy运行apache +mysql+php开放端口：仅对外网开饭80端口站点路径：C:\phpStudy\PHPTutorial\WWW

排查过程

找到篡改网页，发现最新的篡改时间为

2020-5-13-18:34:16，并且在网站根目录，讲源码拖到本地，通过D盾扫描

我这里使用的网络共享来发送的，用啥都可以，只要传到有D盾的windows机上即可

扫描出来了两个可疑文件，我们去看内容和属性

info.php的创建时间是2019年，而shell.php的创建时间是2020年，我们可以推断出，info.php是一个php自带的探针，而shell.php通过创建时间和内容可以看出是一个木马

shell.php的写入时间是2020-05-13-18:32:36，内容来看是一个冰蝎马

我们可以通过shell.php来看日志文件，看access.log日志

我们来搜索shell.php同时间段的日志，看是不是这个时间被攻击的

从结果来看，确实有一个shell.php，但是所在的目录是在/shell.php，并不是在html/shell.php，而且前面还有shell.php说明shell.php并不是在2020-05-13-18:32:36这个时间创建的，而是在此之前就先上传了shell.php到/shell.php下，然后又通过手段放到html/shell.php中的

同时我们可以确定攻击者的ip地址是10.11.33.208

10.11.33.208

根据ip地址，来网上找攻击者的入侵方式和网站漏洞

从这个2020-05-13-18:30:23这个时间开始，我们发现往下很多的HEAD请求，并且都是404，而且每一秒都有很多很多请求，判断为攻击者在进行目录扫描

由上图可以直到扫描结束时间是2020-5-13-18:30:49，然后访问了三次info.php，之后就是shell.php了，看起来info.php应该是存在问题，可能有漏洞，我们去看info.php，在网站中

通过如上信息，我们可以去找哪个地方存在漏洞，首先审核phpstudy的版本是否存在漏洞，版本是2017，其次审核服务器引擎apache的版本是否存在漏洞，php是否存在漏洞，数据是否存在漏洞，大概就是看着一些东西，然后我们去百度发现phpstudy某个版本是有漏洞的

看起来不影响我们这个版本，我们试一下，我们这个版本也有被搞了木马，我们继续试

使用bp抓包，然后修改

Accept-Encoding：gzip,deflate
Accept-charset：cGhwaW5mbygpOw==

这里不知道为啥，使用bp抓包复现不出来，然后使用phpshellcmd测试工具来复现出来了

从这里可以确定是phpstudy后门入侵

继续查看日志，我们发现在18:32:36通过第一次上传的shell.php写入了/html/shell.php文件

我们继续看日志，找出来使用的哪个木马进行修改的index..php文件

首页文件的修改时间为18:34:16日志上的这个时间使用的是/shell.php所以使用的就是一句话木马修改的首页文件

后续继续排查了系统启动项，系统日志，发现无其他异常信息

结论

根据目前信息，可以得到如下结论
攻击者ip地址:10.11.33.208
1.2020-5-13-18:30:23对站点进行了扫描，发现了info.php存在，然后访问了info.php发现使用的是PHP/5.4.45,
3.2020-5-13-18:31:14通过phpstudy后门漏洞来进行命令执行，然后写入了shell.php的木马,在根目录
4.2020-5-13-18:30:36利用shell.php在html下写入了冰蝎马
5.2020-5-13-18:34:16利用该webshell，篡改了站点首页

Web入侵实战分析-常见web攻击类应急处置实验2

场景说明

排查过程

结论

相关文章：

Web入侵实战分析-常见web攻击类应急处置实验2

DeepSeek：AI商业化的新引擎与未来蓝图

从零开始学习PX4源码9(部署px4源码到gitee)

wps中zotero插件消失，解决每次都需要重新开问题

【Python 语法】collections 模块的字典类 defaultdict

《论系统需求分析方法》写作心得 - 系统分析师

Jupyter里面的manim编程学习

Python之装饰器二带参数的装饰器

rk3588/3576板端编译程序无法运行视频推理

静态库与动态库区别

鸿蒙-Canvas-图片滑动验证

Python应用算法之贪心算法理解和实践

网络运维学习笔记 017HCIA-Datacom综合实验01

C++(17)：为optional类型构造对象

Maven导入hutool依赖报错-java: 无法访问cn.hutool.core.io.IORuntimeException 解决办法

Simulink库浏览器中有大量的模型组件工具箱介绍

从0到1：固件分析

模电知识点总结（6）

【Java学习】多态

Oracle 深入理解Lock和Latch ,解析访问数据块全流程

Linux应用开发之网络套接字编程(实例篇)

【网络安全产品大调研系列】2. 体验漏洞扫描

系统设计 --- MongoDB亿级数据查询优化策略

unix/linux，sudo，其发展历程详细时间线、由来、历史背景

微软PowerBI考试 PL300-在 Power BI 中清理、转换和加载数据

Netty从入门到进阶（二）

逻辑回归暴力训练预测金融欺诈

用鸿蒙HarmonyOS5实现中国象棋小游戏的过程

Linux 内核内存管理子系统全面解析与体系构建

Python基于蒙特卡罗方法实现投资组合风险管理的VaR与ES模型项目实战