简单的应急响应练习
利用Windows server 2003简单搭建一个存在木马的靶机,供同学们接触了解应急响应的基础技巧
场景如下:
存在一台web服务器,已被入侵,如何去排查解决此次安全事件
首先根据通常经验,会查一下服务器外联情况,
通过netstat -ano查看,发现PID 2332存在不正常的外部链接
通过PID定位到具体进程,发现为hack.exe,
通过进程名找对应的进程路径
wmic process where name="hack.exe" get processid,executablepath,name
发现恶意程序在C盘根目录,且修改时间为2023-11-24 10:39
由于是web服务器,首先查一下web日志
根据木马生成时间,查找相近时间日志
发现访问了相关网页路径,并上传了webshell
查看对应路径的webshell
确认为一句话木马
此时可以确定攻击路径为
文件上传漏洞>上传webshell 时间为2023-11-24 10:37>上传远控木马 时间为2023-11-24 10:39
恶意IP为192.168.242.1 和 192.168.242.131
确认攻击路径后,对恶意程序和文件进行删除,并排查启动项和计划任务等
查看启动项
发现远控木马随系统启动
删除对应启动项
再检查计划任务,无计划任务
设置靶场时的注意点:
access.log默认不开启,需要修改配置文件
添加启动项命令为 reg add "HKLMSOFTWAREMicrosoftWindowsCurrentVersionRun" /v hack /t REG_SZ /d "C:hack.exe"
注意路径符号为
相关知识
简单的应急响应练习
应急响应靶机
应急响应练习1
【应急响应靶场web1】
应急响应练习2
【护网急训】应急响应靶场集,24年想参加hvv的同学抓紧练习吧。
[护网训练]应急响应靶机整理
基于应急响应体系下的专业消防能力
[护网训练]原创应急响应靶机整理集合
前来挑战!应急响应靶机训练
网址: 简单的应急响应练习 https://www.mcbbbk.com/newsview206358.html
上一篇: 抓常规 养习惯 促成长——隆阳区 |
下一篇: 应急响应练习1 |
推荐分享

- 1我的狗老公李淑敏33——如何 5096
- 2南京宠物粮食薄荷饼宠物食品包 4363
- 3家养水獭多少钱一只正常 3825
- 4豆柴犬为什么不建议养?可爱的 3668
- 5自制狗狗辅食:棉花面纱犬的美 3615
- 6狗交配为什么会锁住?从狗狗生 3601
- 7广州哪里卖宠物猫狗的选择性多 3535
- 8湖南隆飞尔动物药业有限公司宠 3477
- 9黄金蟒的价格 3396
- 10益和 MATCHWELL 狗 3352