1、 某廳級部門政府站點被篡改
2、 上級主管部門安全通告
3、 配合該部門查明原因限期整改
1、 信息收集
A、首先到機房了解了一下拓撲圖,大概就是:互聯網-防火墻-web應用防火墻-防篡改-DMZ服務器區;
B、然后了解了一下web應用程序架構,大概就是:3臺服務器里面1臺跑iis中間件1臺跑sqlserver2008數據庫,站庫分離,服務器性能比較好,1臺syslog服務器接收日志;
C、網站屬于.net開發,之前加固過:
a、后臺限制IP訪問,
b、FCKEDITOR上傳目錄禁止執行,
c、sqlserver數據庫降低權限使用network service并且關閉cmdshell等高危組件。
2、 訪談管理員
A、與管理員溝通得知某個HTML頁面被黑客篡改了一些不好的內容,查看數據庫日志以及數據庫中記錄的網站操作記錄分析判斷不屬于后臺管理員修改;
B、查看web應用防火墻日志的時候發現并未記錄任何日志,訪談得知機房防火墻壞掉了,就變動了一下線路,所有請求web服務器的用戶都不會經過web應用防火墻,相當于就是個擺設;
C、FCKEDITOR編輯器任意上傳漏洞早在2013年就已經存在,當時開發商沒有歷史源代碼無法升級采用web應用防火墻+IIS限制執行權限方法;
D、2013年湖南省金盾信息安全測評中心的信息安全等級保護測評報告提出的整改建議甲方不知道如何整改就沒有整改到位。
3、 情況分析
在初步了解完情況以后,對web目錄進行可疑文件篩選:
(黑客所放置的后門程序,文件修改時間被偽裝)
(webshell內容,變異的一句話)
(通過FCKEDITOR編輯器上傳的一句話木馬文件初步判斷為2014年6月30日黑客攻擊)
初步判斷為FCKEDITOR編輯器被黑客利用了,接下來對iis 36GB日志進行壓縮打包:
(成功打包網站日志)
(以webshell路徑做為篩選條件初步快速從33GB日志文件內找出所有可疑IP地址以及時間)
入侵手段分析:最終分析得知最早黑客攻擊利用 Common/UpLoadFile.aspx文件上傳了ASPX木馬文件在common/201406/20140619183500432547.aspx,
此上傳功能并未調用FCKEDITOR編輯器,之前加固限制FCKEDITOR編輯器上傳文件執行權限成功阻止了黑客利用該漏洞
黑客通過 /common/201406/20140619183500432547.aspx文件寫入了/userspace/enterprisespace/MasterPages.aspx一句話木馬文件,
后續相繼寫入了之前掃描出的可疑ASPX文件,成功固定了黑客入侵手段、時間、IP地址、綜合分析在服務器的操作記錄,由于綜合分析操作記錄部分涉及到該單位隱私信息不便公開
4、 反向滲透取證定位
在對3個月內日志仔細分析發現幾個可疑的重慶和廣東5個IP地址中113...173并未攻擊成功,其他4個IP地址為1人或者1個團伙所使用IP地址:
(黑客利用FCKEDITOR編輯器漏洞成功建立了a.asp文件夾嘗試利用IIS解析漏洞,但是由于IIS中進行過安全配置以及IIS7.5已經修補該解析漏洞入侵并未成功,故忽略)
對剩余的4個IP地址仔細分析發現61...181屬于一個黑客使用的windows服務器:
(對該服務器進行收集得知操作系統為windows2003,瀏覽器ie8.0,綁定域名www.**dns.cn)
接下來對該服務器進行滲透測試,目的拿下其服務器獲取黑客使用該服務器做跳板的日志以及黑客的真實IP地址,對其進行端口掃描結果:
PORT STATE SERVICE VERSION
80/tcp open http Microsoft IIS httpd 6.0
808/tcp open http Microsoft IIS httpd 6.0
1025/tcp open msrpc Microsoft Windows RPC(可以openvas或者nessus遠程獲取一些RPC信息)
1026/tcp open msrpc Microsoft Windows RPC(可以openvas或者nessus遠程獲取一些RPC信息)
1311/tcp open ssl/http Dell PowerEdge OpenManage Server Administrato
r httpd admin(通過HTTPS協議訪問后了解到計算機名稱為EASYN-9D76400CB ,服務器型號PowerEdge R610)
1723/tcp open pptp Microsoft (黑客用做跳板開放的PPTP VPN服務器)
3029/tcp open unknown
8888/tcp open sun-answerbook?
10000/tcp open ms-wbt-server Microsoft Terminal Service(遠程桌面服務,進行分析判斷時發現存在黑客安裝的shift后門)
(黑客的shift后門真逗,竟然不使用灰色按鈕,偽裝失敗,肉眼直接識別是后門)
接下來確定滲透思路為:
A、使用漏洞掃描設備掃描主機漏洞以及每個端口存在的弱口令;
B、對shift后門有著多年爆菊花經驗,進行類似于xss盲打,用鼠標點擊每個角落或者同時按住ctrl+alt+shift來點擊,最后嘗試每個按鍵以及常用組合鍵;
C、通過1311端口的HTTPS可以對windows管理員進行暴力破解;
D、從80端口綁定的站點進行web滲透。
運氣還不錯,找到一個顯錯注入點直接sa權限:
(SQL2008顯錯注入成功)
(測試SA可以執行cmdshell,但是權限為網絡服務,無法直接添加命令,還需要提權)
思考后覺得數據庫與網站都屬于network service,應該可以通過數據庫寫文件到網站根目錄,然后連接菜刀提權進入服務器:
(通過顯錯得知了網站根目錄,然后利用echo命令寫入shell成功)
(webshell連接成功,運氣真好!)
(從web.config文件中找到明文數據庫sa超級管理員用戶密碼)
(iis6提權成功)
(明文管理員密碼讀取成功)
(進入服務器分析殺毒軟件歷史日志,得知黑客入侵手法)
(查看VPN配置信息取出日志,順便了解到該服務器220天沒有重啟了,真牛。。。)
(提取出存在于系統中的shift后門)
繼續向下分析,黑客是否種植遠程控制木馬或者其他rootkit:
(系統服務中發現異常服務項為遠程控制木馬,爆破1組準備)
(小樣,默認還設置了注冊表不允許administrators組無權限)
(定位到木馬的DLL,提取并固定到入侵證據中)
(黑客慣用手法,偽裝與正常ASPX程序相關文件名,修改文件時間,就連webshell代碼都是那么幾個一模一樣的) 后續還發現黑客添加成功asp.net用戶,但是沒有種植驅動級后門,當前也并未發現其他后門。綜合系統日志、IIS日志、webshell、逆向分析shift后門以及遠程控制木馬結果、數據庫日志、防火墻日志等判斷出黑客是重慶的XXX,這里就不提這些了。
以上內容僅供技術交流參考,歡迎大家與我互相交流,同時請關注長沙雨人網安的專業安全團隊。