简单的应急响应练习
利用Windows server 2003简单搭建一个存在木马的靶机,供同学们接触了解应急响应的基础技巧
场景如下:
存在一台web服务器,已被入侵,如何去排查解决此次安全事件
首先根据通常经验,会查一下服务器外联情况,
通过netstat -ano查看,发现PID 2332存在不正常的外部链接
通过PID定位到具体进程,发现为hack.exe,
通过进程名找对应的进程路径
wmic process where name="hack.exe" get processid,executablepath,name
发现恶意程序在C盘根目录,且修改时间为2023-11-24 10:39
由于是web服务器,首先查一下web日志
根据木马生成时间,查找相近时间日志
发现访问了相关网页路径,并上传了webshell
查看对应路径的webshell
确认为一句话木马
此时可以确定攻击路径为
文件上传漏洞>上传webshell 时间为2023-11-24 10:37>上传远控木马 时间为2023-11-24 10:39
恶意IP为192.168.242.1 和 192.168.242.131
确认攻击路径后,对恶意程序和文件进行删除,并排查启动项和计划任务等
查看启动项
发现远控木马随系统启动
删除对应启动项
再检查计划任务,无计划任务
设置靶场时的注意点:
access.log默认不开启,需要修改配置文件
添加启动项命令为 reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun" /v hack /t REG_SZ /d "C:hack.exe"
注意路径符号为
相关知识
简单的应急响应练习
应急响应靶机
应急响应练习1
【应急响应靶场web1】
应急响应练习2
【护网急训】应急响应靶场集,24年想参加hvv的同学抓紧练习吧。
[护网训练]应急响应靶机整理
基于应急响应体系下的专业消防能力
[护网训练]原创应急响应靶机整理集合
前来挑战!应急响应靶机训练
网址: 简单的应急响应练习 https://m.mcbbbk.com/newsview206358.html
| 上一篇: 抓常规 养习惯 促成长——隆阳区 |
下一篇: 应急响应练习1 |
