0x01 工作背景：

1、 某廳級部門政府站點被篡改

2、 上級主管部門安全通告

3、 配合該部門查明原因限期整改

0x02 工作記錄：

1、 信息收集

A、首先到機(jī)房了解了一下拓?fù)鋱D，大概就是：互聯(lián)網(wǎng)-防火墻-web應(yīng)用防火墻-防篡改-DMZ服務(wù)器區(qū)；

B、然后了解了一下web應(yīng)用程序架構(gòu)，大概就是：3臺服務(wù)器里面1臺跑iis中間件1臺跑sqlserver2008數(shù)據(jù)庫，站庫分離，服務(wù)器性能比較好，1臺syslog服務(wù)器接收日志；

C、網(wǎng)站屬于.net開發(fā)，之前加固過：

a、后臺限制IP訪問，

b、FCKEDITOR上傳目錄禁止執(zhí)行，

c、sqlserver數(shù)據(jù)庫降低權(quán)限使用network service并且關(guān)閉cmdshell等高危組件。

2、 訪談管理員

A、與管理員溝通得知某個HTML頁面被黑客篡改了一些不好的內(nèi)容，查看數(shù)據(jù)庫日志以及數(shù)據(jù)庫中記錄的網(wǎng)站操作記錄分析判斷不屬于后臺管理員修改；

B、查看web應(yīng)用防火墻日志的時候發(fā)現(xiàn)并未記錄任何日志，訪談得知機(jī)房防火墻壞掉了，就變動了一下線路，所有請求web服務(wù)器的用戶都不會經(jīng)過web應(yīng)用防火墻，相當(dāng)于就是個擺設(shè)；

C、FCKEDITOR編輯器任意上傳漏洞早在2013年就已經(jīng)存在，當(dāng)時開發(fā)商沒有歷史源代碼無法升級采用web應(yīng)用防火墻+IIS限制執(zhí)行權(quán)限方法；

D、2013年湖南省金盾信息安全測評中心的信息安全等級保護(hù)測評報告提出的整改建議甲方不知道如何整改就沒有整改到位。

3、 情況分析

在初步了解完情況以后，對web目錄進(jìn)行可疑文件篩選：

（黑客所放置的后門程序，文件修改時間被偽裝）

（webshell內(nèi)容，變異的一句話）

（通過FCKEDITOR編輯器上傳的一句話木馬文件初步判斷為2014年6月30日黑客攻擊）

初步判斷為FCKEDITOR編輯器被黑客利用了，接下來對iis 36GB日志進(jìn)行壓縮打包：

（成功打包網(wǎng)站日志）

（以webshell路徑做為篩選條件初步快速從33GB日志文件內(nèi)找出所有可疑IP地址以及時間）

入侵手段分析：最終分析得知最早黑客攻擊利用 Common/UpLoadFile.aspx文件上傳了ASPX木馬文件在common/201406/20140619183500432547.aspx，

此上傳功能并未調(diào)用FCKEDITOR編輯器，之前加固限制FCKEDITOR編輯器上傳文件執(zhí)行權(quán)限成功阻止了黑客利用該漏洞

黑客通過 /common/201406/20140619183500432547.aspx文件寫入了/userspace/enterprisespace/MasterPages.aspx一句話木馬文件，

后續(xù)相繼寫入了之前掃描出的可疑ASPX文件，成功固定了黑客入侵手段、時間、IP地址、綜合分析在服務(wù)器的操作記錄，由于綜合分析操作記錄部分涉及到該單位隱私信息不便公開

4、 反向滲透取證定位

在對3個月內(nèi)日志仔細(xì)分析發(fā)現(xiàn)幾個可疑的重慶和廣東5個IP地址中113...173并未攻擊成功，其他4個IP地址為1人或者1個團(tuán)伙所使用IP地址：

（黑客利用FCKEDITOR編輯器漏洞成功建立了a.asp文件夾嘗試?yán)肐IS解析漏洞，但是由于IIS中進(jìn)行過安全配置以及IIS7.5已經(jīng)修補(bǔ)該解析漏洞入侵并未成功，故忽略）

對剩余的4個IP地址仔細(xì)分析發(fā)現(xiàn)61...181屬于一個黑客使用的windows服務(wù)器：

（對該服務(wù)器進(jìn)行收集得知操作系統(tǒng)為windows2003，瀏覽器ie8.0，綁定域名www.**dns.cn）

接下來對該服務(wù)器進(jìn)行滲透測試，目的拿下其服務(wù)器獲取黑客使用該服務(wù)器做跳板的日志以及黑客的真實IP地址，對其進(jìn)行端口掃描結(jié)果：

PORT      STATE    SERVICE         VERSION
80/tcp    open     http            Microsoft IIS httpd 6.0
808/tcp   open     http            Microsoft IIS httpd 6.0
1025/tcp  open     msrpc           Microsoft Windows RPC（可以openvas或者nessus遠(yuǎn)程獲取一些RPC信息）
1026/tcp  open     msrpc           Microsoft Windows RPC（可以openvas或者nessus遠(yuǎn)程獲取一些RPC信息）
1311/tcp  open     ssl/http        Dell PowerEdge OpenManage Server Administrato
r httpd admin(通過HTTPS協(xié)議訪問后了解到計算機(jī)名稱為EASYN-9D76400CB ，服務(wù)器型號PowerEdge R610)
1723/tcp  open     pptp            Microsoft (黑客用做跳板開放的PPTP VPN服務(wù)器)
3029/tcp  open     unknown
8888/tcp  open     sun-answerbook?
10000/tcp open     ms-wbt-server   Microsoft Terminal Service（遠(yuǎn)程桌面服務(wù)，進(jìn)行分析判斷時發(fā)現(xiàn)存在黑客安裝的shift后門）

（黑客的shift后門真逗，竟然不使用灰色按鈕，偽裝失敗，肉眼直接識別是后門）

接下來確定滲透思路為：

A、使用漏洞掃描設(shè)備掃描主機(jī)漏洞以及每個端口存在的弱口令；

B、對shift后門有著多年爆菊花經(jīng)驗，進(jìn)行類似于xss盲打，用鼠標(biāo)點擊每個角落或者同時按住ctrl+alt+shift來點擊，最后嘗試每個按鍵以及常用組合鍵；

C、通過1311端口的HTTPS可以對windows管理員進(jìn)行暴力破解；

D、從80端口綁定的站點進(jìn)行web滲透。

運氣還不錯，找到一個顯錯注入點直接sa權(quán)限：

（SQL2008顯錯注入成功）

（測試SA可以執(zhí)行cmdshell，但是權(quán)限為網(wǎng)絡(luò)服務(wù)，無法直接添加命令，還需要提權(quán)）

思考后覺得數(shù)據(jù)庫與網(wǎng)站都屬于network service，應(yīng)該可以通過數(shù)據(jù)庫寫文件到網(wǎng)站根目錄，然后連接菜刀提權(quán)進(jìn)入服務(wù)器：

（通過顯錯得知了網(wǎng)站根目錄，然后利用echo命令寫入shell成功）

（webshell連接成功，運氣真好?。?/p>

（從web.config文件中找到明文數(shù)據(jù)庫sa超級管理員用戶密碼）

（iis6提權(quán)成功）

（明文管理員密碼讀取成功）

（進(jìn)入服務(wù)器分析殺毒軟件歷史日志，得知黑客入侵手法）

（查看VPN配置信息取出日志，順便了解到該服務(wù)器220天沒有重啟了，真牛。。。）

（提取出存在于系統(tǒng)中的shift后門）

繼續(xù)向下分析，黑客是否種植遠(yuǎn)程控制木馬或者其他rootkit：

（系統(tǒng)服務(wù)中發(fā)現(xiàn)異常服務(wù)項為遠(yuǎn)程控制木馬，爆破1組準(zhǔn)備）

（小樣，默認(rèn)還設(shè)置了注冊表不允許administrators組無權(quán)限）

（定位到木馬的DLL，提取并固定到入侵證據(jù)中）

（黑客慣用手法，偽裝與正常ASPX程序相關(guān)文件名，修改文件時間，就連webshell代碼都是那么幾個一模一樣的） 后續(xù)還發(fā)現(xiàn)黑客添加成功asp.net用戶，但是沒有種植驅(qū)動級后門，當(dāng)前也并未發(fā)現(xiàn)其他后門。綜合系統(tǒng)日志、IIS日志、webshell、逆向分析shift后門以及遠(yuǎn)程控制木馬結(jié)果、數(shù)據(jù)庫日志、防火墻日志等判斷出黑客是重慶的XXX，這里就不提這些了。

以上內(nèi)容僅供技術(shù)交流參考，歡迎大家與我互相交流，同時請關(guān)注長沙雨人網(wǎng)安的專業(yè)安全團(tuán)隊。