理
目录
1.日志分析
1)扫描网站
2)SQL手工注入
3)文件上传
2.账户检测
3.后门检测
入侵者ip:192.168.123.1
先利用notepad将日志筛选,选择出自己想要的部分,然后分析
[27/May/2019:15:50:07入侵者开始扫描网站后台
[27/May/2019:15:50:09扫描结束
[27/May/2019:15:46:42入侵者使用如下url:
plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\%27%20or%[email protected]`\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%[email protected]__admin`%20limit+0,1),5,6,7,8,9%[email protected]`\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294
但是在日志中却是这样【需要稍加修改,多加了\】:/plus/recommend.php?action=&aid=1&_FILES[type][tmp_name]=\\%27%20or%[email protected]`\\%27`%20/*!50000union*//*!50000select*/1,2,3,(select%20CONCAT(0x7c,userid,0x7c,pwd)+from+`%[email protected]__admin`%20limit+0,1),5,6,7,8,9%[email protected]`\\%27`+&_FILES[type][name]=1.jpg&_FILES[type][type]=application/octet-stream&_FILES[type][size]=4294
通过url找到管理员后台账户和密码,并登陆网站后台
解决方法:过滤敏感字符后,就无法利用sql注入读取数据库文件,效果如下图所示
[27/May/2019:15:52:28上传shell.php“大马文件”
经测试发现在网站后台“文件式管理器”处可以上传任意php文件,所以入侵者就直接上传了shell.php大马
解决方法:使用白名单,禁用文件类型
使用D盾工具检测到克隆账号
打开“计算机管理”,发现确实存多加了“test”账户,将其删除
快速点击shift键多下,出现如下图所示的cmd窗口,说明入侵者留了一个shift后门
修复方法:打开C:\WINDOWS\system32\目录,发现入侵者将cmd运行程序替换为sethc.exe文件,删除即可
注意在本目录下,有一个隐藏的文件夹,需要先打开隐藏文件夹,里面还有一个sethc.exe文件,也要将其删除才行
删除后再次多点shift键,就不会出现cmd窗口了,因为后门被我删了
作者:怪手精灵
https://www.cnblogs.com/guaishoujingling/p/10969149.html
End
关注公众号【白帽子程序员】
回复“电子书”获取网络安全电子书资料
回复“视频教程”获取400网络渗透教学、编程视频教程
回复CTF视频教程”获取400网络渗透教学、编程视频教程
回复python视频教程”获取python学习教程
回复hw”获取护网资料
回复内网靶场”获取内网靶场
回复渗透镜像”
学习资料截图
往期推荐
我为什么开通公众号?IT人到中年最怕的就是你只有一门技术
个人总结网络安全学习路线(文末电子书、教学视频400G获取)
黑客是怎么入侵一个网站的?(微信交流群、资料共享)