0x01 工作背景：

1、 某廳級部門政府站點被篡改

2、 上級主管部門安全通告

3、 配合該部門查明原因限期整改

0x02 工作記錄：

1、 信息收集

A、首先到機房了解了一下拓撲圖，大概就是：互聯(lián)網(wǎng)-防火墻-web應用防火墻-防篡改-DMZ服務器區(qū)；

B、然后了解了一下web應用程序架構(gòu)，大概就是：3臺服務器里面1臺跑iis中間件1臺跑sqlserver2008數(shù)據(jù)庫，站庫分離，服務器性能比較好，1臺syslog服務器接收日志；

C、網(wǎng)站屬于.net開發(fā)，之前加固過：

a、后臺限制IP訪問，

b、FCKEDITOR上傳目錄禁止執(zhí)行，

c、sqlserver數(shù)據(jù)庫降低權限使用network service并且關閉cmdshell等高危組件。

2、 訪談管理員

A、與管理員溝通得知某個HTML頁面被黑客篡改了一些不好的內(nèi)容，查看數(shù)據(jù)庫日志以及數(shù)據(jù)庫中記錄的網(wǎng)站操作記錄分析判斷不屬于后臺管理員修改；

B、查看web應用防火墻日志的時候發(fā)現(xiàn)并未記錄任何日志，訪談得知機房防火墻壞掉了，就變動了一下線路，所有請求web服務器的用戶都不會經(jīng)過web應用防火墻，相當于就是個擺設；

C、FCKEDITOR編輯器任意上傳漏洞早在2013年就已經(jīng)存在，當時開發(fā)商沒有歷史源代碼無法升級采用web應用防火墻+IIS限制執(zhí)行權限方法；

D、2013年湖南省金盾信息安全測評中心的信息安全等級保護測評報告提出的整改建議甲方不知道如何整改就沒有整改到位。

3、 情況分析

在初步了解完情況以后，對web目錄進行可疑文件篩選：

（黑客所放置的后門程序，文件修改時間被偽裝）

（webshell內(nèi)容，變異的一句話）

（通過FCKEDITOR編輯器上傳的一句話木馬文件初步判斷為2014年6月30日黑客攻擊）

初步判斷為FCKEDITOR編輯器被黑客利用了，接下來對iis 36GB日志進行壓縮打包：

（成功打包網(wǎng)站日志）

（以webshell路徑做為篩選條件初步快速從33GB日志文件內(nèi)找出所有可疑IP地址以及時間）

入侵手段分析：最終分析得知最早黑客攻擊利用 Common/UpLoadFile.aspx文件上傳了ASPX木馬文件在common/201406/20140619183500432547.aspx，

此上傳功能并未調(diào)用FCKEDITOR編輯器，之前加固限制FCKEDITOR編輯器上傳文件執(zhí)行權限成功阻止了黑客利用該漏洞

黑客通過 /common/201406/20140619183500432547.aspx文件寫入了/userspace/enterprisespace/MasterPages.aspx一句話木馬文件，

后續(xù)相繼寫入了之前掃描出的可疑ASPX文件，成功固定了黑客入侵手段、時間、IP地址、綜合分析在服務器的操作記錄，由于綜合分析操作記錄部分涉及到該單位隱私信息不便公開

4、 反向滲透取證定位

在對3個月內(nèi)日志仔細分析發(fā)現(xiàn)幾個可疑的重慶和廣東5個IP地址中113...173并未攻擊成功，其他4個IP地址為1人或者1個團伙所使用IP地址：

（黑客利用FCKEDITOR編輯器漏洞成功建立了a.asp文件夾嘗試利用IIS解析漏洞，但是由于IIS中進行過安全配置以及IIS7.5已經(jīng)修補該解析漏洞入侵并未成功，故忽略）

對剩余的4個IP地址仔細分析發(fā)現(xiàn)61...181屬于一個黑客使用的windows服務器：

（對該服務器進行收集得知操作系統(tǒng)為windows2003，瀏覽器ie8.0，綁定域名www.**dns.cn）

接下來對該服務器進行滲透測試，目的拿下其服務器獲取黑客使用該服務器做跳板的日志以及黑客的真實IP地址，對其進行端口掃描結(jié)果：

PORT      STATE    SERVICE         VERSION
80/tcp    open     http            Microsoft IIS httpd 6.0
808/tcp   open     http            Microsoft IIS httpd 6.0
1025/tcp  open     msrpc           Microsoft Windows RPC（可以openvas或者nessus遠程獲取一些RPC信息）
1026/tcp  open     msrpc           Microsoft Windows RPC（可以openvas或者nessus遠程獲取一些RPC信息）
1311/tcp  open     ssl/http        Dell PowerEdge OpenManage Server Administrato
r httpd admin(通過HTTPS協(xié)議訪問后了解到計算機名稱為EASYN-9D76400CB ，服務器型號PowerEdge R610)
1723/tcp  open     pptp            Microsoft (黑客用做跳板開放的PPTP VPN服務器)
3029/tcp  open     unknown
8888/tcp  open     sun-answerbook?
10000/tcp open     ms-wbt-server   Microsoft Terminal Service（遠程桌面服務，進行分析判斷時發(fā)現(xiàn)存在黑客安裝的shift后門）

（黑客的shift后門真逗，竟然不使用灰色按鈕，偽裝失敗，肉眼直接識別是后門）

接下來確定滲透思路為：

A、使用漏洞掃描設備掃描主機漏洞以及每個端口存在的弱口令；

B、對shift后門有著多年爆菊花經(jīng)驗，進行類似于xss盲打，用鼠標點擊每個角落或者同時按住ctrl+alt+shift來點擊，最后嘗試每個按鍵以及常用組合鍵；

C、通過1311端口的HTTPS可以對windows管理員進行暴力破解；

D、從80端口綁定的站點進行web滲透。

運氣還不錯，找到一個顯錯注入點直接sa權限：

（SQL2008顯錯注入成功）

（測試SA可以執(zhí)行cmdshell，但是權限為網(wǎng)絡服務，無法直接添加命令，還需要提權）

思考后覺得數(shù)據(jù)庫與網(wǎng)站都屬于network service，應該可以通過數(shù)據(jù)庫寫文件到網(wǎng)站根目錄，然后連接菜刀提權進入服務器：

（通過顯錯得知了網(wǎng)站根目錄，然后利用echo命令寫入shell成功）

（webshell連接成功，運氣真好?。?/p>

（從web.config文件中找到明文數(shù)據(jù)庫sa超級管理員用戶密碼）

（iis6提權成功）

（明文管理員密碼讀取成功）

（進入服務器分析殺毒軟件歷史日志，得知黑客入侵手法）

（查看VPN配置信息取出日志，順便了解到該服務器220天沒有重啟了，真牛。。。）

（提取出存在于系統(tǒng)中的shift后門）

繼續(xù)向下分析，黑客是否種植遠程控制木馬或者其他rootkit：

（系統(tǒng)服務中發(fā)現(xiàn)異常服務項為遠程控制木馬，爆破1組準備）

（小樣，默認還設置了注冊表不允許administrators組無權限）

（定位到木馬的DLL，提取并固定到入侵證據(jù)中）

（黑客慣用手法，偽裝與正常ASPX程序相關文件名，修改文件時間，就連webshell代碼都是那么幾個一模一樣的） 后續(xù)還發(fā)現(xiàn)黑客添加成功asp.net用戶，但是沒有種植驅(qū)動級后門，當前也并未發(fā)現(xiàn)其他后門。綜合系統(tǒng)日志、IIS日志、webshell、逆向分析shift后門以及遠程控制木馬結(jié)果、數(shù)據(jù)庫日志、防火墻日志等判斷出黑客是重慶的XXX，這里就不提這些了。

以上內(nèi)容僅供技術交流參考，歡迎大家與我互相交流，同時請關注長沙雨人網(wǎng)安的專業(yè)安全團隊。