玄机——windows应急-应急与研判训练计划一
首先分析靶机端口开放情况,发现开放了FTP,RDP和一个常规的8080服务。80端口给的静态不太可能被攻击,故提交三个端口。
分析全程流量。既然是上传的恶意文件,我们就得考虑POST方式筛选。筛选后我们手动审计流量过程。没有审计出有效信息,我们再转而审计nginx的日志。使用awk来格式化输出并统计IP出现次数
awk "{print $1}" access.log | sort | uniq -c
除本地地址外有一个地址大量访问,推测此IP即为恶意IP。保留此结果,我们继续审计。筛除访问404的结果,使用awk指令
awk "$9!=404 {print $1,$6,$7,$9}" access.log
输出发现末尾有一个可疑文件在传入指令。
恶意文件名暂定为newfile1.php。使用wireshark对IP源进行筛选,限定为上文中的恶意地址,查看IP访问情况。使用wireshark筛选ip.dst为恶意地址,统计->Endpoint选定后查看TCP包统计,发现3389端口的访问信息最多,怀疑3389端口为被攻击成功的端口。最后查看接管IP,我们先审计一下完整的system日志,在其中发现了攻击记录。先是发现了很多kali端的133ip登陆记录,在此之外还有一个192.168.18.1的外部IP,合理怀疑其就是最终接管IP
