正文

追溯抓鸡黑客的奇妙之旅

admin
admin V管理员 /0 评论 /13 阅读
0410
此篇文章发布距今已超过1120天,您需要注意文章的内容或图片是否可用!

高高兴兴的听着音乐,成都成都。。。然后,客户电话来了。

客户说,网站被入侵,他们的技术人员发现网站上已经有WebShell、bat文件、exe文件等,确认系统被入侵,(我就想问你懂技术你找我干啥?)。同时已经排查出了入侵方式为通过Struts2漏洞进行入侵。   

那么问题来了,客户联系的我,你说我能不进行排查,不然客户会投诉我的,但是,我是说但是,这个客户太奇葩了,不提供IP地址、不提供域名、啥都不提供,你让我咋分析,对着你空讲你的服务器被入侵了?让你删这删那?不现实么,只能说也是奇葩客户。

没有IP、没有域名,所以没得玩儿,过了一会儿客户发过来了一个exe文件,exe名字为AIlimama.exe(有意思),然后发了一张图片,从这幅图中明显可以看出来这是骚鸡黑客的行为。所以就虚拟机运行了一下AIlimama.exe,接着就发现ailimama连接了115.28.*.*的79端口,然后干啥?客户也不给东西,闲着也没事,就开始撸撸黑客的服务器!

1500518552894529.jpg

nmap扫了一波,发现开了很多端口,还有web,mysql,ftp,然后我就哈哈哈哈了,初步怀疑能搞,然后直接上手开搞。

开放端口列表:

11.png

先看看web上都跑了些啥,80跑了一个网站,8080跑了HFS,看到HFS我就笑了,只能说这是个大黑阔,没事就抓鸡玩儿,工具挺全的。

1500518613561919.png

既然开了HFS,那么久搞搞HFS,记得HFS有命令执行漏洞,不过在我的印象中HFS漏洞很多都不能用了,随后试了一下,发现确实没成功(看来还有点安全意识),既然hfs没成功,那么看看就看看80的状态呗,发现80是一个php系统,打开就是登陆界面,而且变态的是还有验证码,看来这个抓鸡黑客要么技术很高,要么就是非常垃圾,要么这个站就是扫一扫就有webshell的这种。

既然有登录,那么就不能干看着,手工试了一试,测测有没注入、弱口令啊,最后发现也没弱口令,也没注入,顿时不开心了,难道这个黑客很牛逼?

算了吧,来个更没有技术含量的东西,打开WVS,来扫一波,万一有啥好玩的玩意呢,来杯coffee休息休息,等等它。

过了一会儿,发现扫描完成了,打开看了一下,发现了一些好东西,其中有www.rar、db.php、test.php、abc.php,哈哈,这些都是我喜欢的, www.rar一般都是网站的备份文件,然后打开了orbit开始下载,然后,神奇的事情发生了,这傻逼文件竟然四十几个G,妈的这下载到啥时候去了。

算了,还是看看db.php吧,打开发现是个数据库连接测试页面,输入数据库密码,然后点击测试即可,随手试了几个弱口令,发现不对。祭出神器BurpSuite,抓包,xxx,xxx,打开自己收集的黑客字典,里面可是有几年来收集的黑客的密码哦,加上其他密码,几十万个,然后让他慢慢爆破吧。

数据库连接测试界面是这个样子的:

1500518706472188.png

爆破工作让他进行着,然后再来看看其他的,test.php是个phpinfo页面,收集了一波信息,abc.php是个空白页面,不管了,直接爆破一下abc.php,假装他是个一句话,用了某大牛写的一句话爆破工具,继续祭出字典,开始爆破,哈哈,越来越有意思了。

然后让他跑着,出去吃个饭,游个泳,回来估计就有戏了。

几小时后,我回来了,发现没爆破出来,root密码爆破出来了,可能的webshell没爆破出来。

赶快打开navicate连接试试,万一mysql拒绝远程连接,那不是没多大用处了,测试连接后发现连接成功。

前有phpinfo页面,现在又有mysql的root权限,想都不用想,赶快getshell,使用mysql的into outfile成功导出一个webshell,然后菜刀连接之。

1500518753321783.png

1500518804443663.png

通过菜刀执行命令后提示:执行命令失败,可能远程启用了安全模式!,那么就先不执行了,先看看服务器文件,随后就发现了黑客的用户,而且可以看他的桌面哦,同时也看到了Ailimam.exe文件,感觉都不用提权了,看看文件就行了。

1500518860483504.png

翻翻桌面,发现了黑客搞了一堆Struts2,哈哈,还有菜刀,菜刀中还有shell,赶快谢一下大黑阔。

1500518903521964.png

最开始知道了黑客监听的是79端口,肯定是木马上线的端口,现在我们就找一找远控,翻着翻着目录发现了乱柒远程控制软件,打开配置文件看了下发现了大黑阔的服务器密码,明文卸载了远控软件配置文件中。。。唉(都不用提权了)!

1500518946475458.png

既然给了我们密码,不上服务器看看大黑阔的行为就显得我不够意思了,赶快打开命令行,熟练的敲出mstsc,然后回车,输入了服务器IP、账号密码等显示连接成功,啊哈哈哈哈。然后就看到了打开的HFS,右下角一点开发现了远控。

1500518988779396.png

1500519024966884.png

发现有481台主机,诶呀,吓死了。。。从来没有见过这么多的肉鸡,上线时间最长的都已经有四十多天了,看来这黑阔那这台服务器干了不少事儿啊,然后一不小心又点开了个远控,发现呼呼呼的上线了85台,总共就是566台机子啊,打DDOS不敢想。

1500519071535308.png

走了一下被控主机统计,如下图,其中北京和浙江最多,而且大部分都是阿里云的。

微信图片_20170720105345.png

微信图片_20170720105524.png

然后做点啥操作?找找这个黑客真实信息玩玩?

黑客上了服务器后每次退出都是清除了日志的,然后传了一个执行命令的脚本上去,监控了几天后发现了黑客终于连接了,赶快看了一下端口连接状态,成功抓到了黑客的来源IP,黑客的来源IP为114.55.*.*,看了一下此站点为某黑七平台,然后试了一下3389密码,使用远控中发现的密码成功登录了,在服务器中发现了这个服务器被黑客做了一个openvpn,然后黑客拨vpn远程连接上线控制端。在对黑七服务器进行检查时发现黑客并未删除openvpn的连接日志等信息,可以进行溯源,同时服务器上还有黑客安装的百度云网盘,留存有用户名。

以下是黑七网站的截图:

1500529652266066.png

最后通过种种信息定位到了黑客的地址:

1500529688574193.png

接下来的事情就不应该我来做了,黑客,小心了。。。。哈哈哈