奇安信攻防社区-记录某项目中一次较为顺利的溯源反制过程

记录某项目中一次较为顺利的溯源反制过程

从发现攻击IP到反制拿到system权限，再到分析傀儡机上的扫描工具（有球球号），最后还原攻击路径。主打一个分享思路和技巧。

### 时间

202X年7月19日下午，刚睡醒就发现上午好像漏了一条攻击告警（简陋的图，体谅一下），还好为时不晚，先上报再溯源反制一下。

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-db0b69f1529a22c0d85c841f5b0c5d6c5eb9fb26.png)

### 起因

此番攻击时间上相对连续，可以初步判断为扫描器，然后受害ip数量较多，猜测可能是一次针对性的攻击，攻击者将收集到的资产统一进行扫描。所以还是有溯源的必要。

### 反制

威胁情报平台上跑一下发现并未被标记恶意IP：

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-b4a5c48009d10e44bdb5c4055363226cbfab2d73.png)

无所谓，礼尚往来，你扫我我扫你，上dirsearch！很快就发现了突破口：

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-b30116bc3be75a2da1f775847cf2766f2eb32cce.png)

是的，朴实无华的phpmyadmin，朴实无华的弱口令，朴实无华的拿shell。初步判断，该机器为傀儡机，攻击者通过phpmyadmin日志写入shell拿下了这台机器。这里还疑惑什么马子26MB这么大，后面才反应过来这是日志，感情这26MB也有我贡献的。  
弱口令root/root:

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-dfc46efb3c60e041bd95e851ea20ba8398dea8fe.png)  
在数据库中找到了我方的资产，再一次确定了这个就是攻击资源。  
日志拿shell:

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-433097976bddb67fcd5152ab1d392faed6412a91.png)  
随后上线CS，获取账号密码：

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-901433b7ebbcdee45fde36960c3927e9165d301b.png)  
信息收集一波，发现开放了23389端口：

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-c058486a0a9c52c18b77a2e76215ba37d820775b.png)  
随即远程桌面过去，但是未在傀儡机上发现其他账号和服务，也没发现有异常连接，只有一个程序一直再运行：

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-7b50b9bc123fd019b4c5a6f22ac33dcfbb5c89b9.png)  
这个应该就是扫描器了，像是python写的，第一感觉就是。看运行界面，应该是一直在扫备份文件的，先下载到本地再分析。

### 分析扫描工具

解压工具，全部文件如下：

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-2518bd16dca6b8ee1befbed138b73ac6318d758c.png)  
看工具介绍主要就是扫描和爬虫的功能，那就反编译一下试试。  
这里需要一个工具，pyinstxtractor.py。用它来进行解包操作，这个文件复制到待解包exe 同级目录下，运行如下命令（python3）：  
`python pyinstxtractor.py xx.exe`  
两个exe反编译后就是这样：

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-bd52bfa5d2fce36ee56293eb82f055774719295d.png)  
进入main.exe\_extracted文件下如下：  
![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-0aa5f46edb672a801d484b2cf5339f1775b3db6d.png)

需要注意的是 1.exe.mainifest 和 1.pyc 网上的教程上来说 1.pyc是没有后缀的 但是后面也需要改成pyc后缀，这里直接就有后缀，如果没有的话就加上。这两个文件是源文件本身的名字，不管后面exe叫什么，它打包之前就是这个名字。1.py是我解包后的文件，这里可以忽略它。  
还是这个文件夹往下看有一个struct.pyc的文件：

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-b9e1f96718e8c9365c0f723fa958139c19b8979b.png)

经过测试，这个pyc文件可以直接反编译出来，安装uncompyle 来反编译文件，命令如下：  
`pip install uncompyle`  
如果电脑安装多个python版本，建议再执行一下  
`pip3 install uncompyle`  
反编译命令如下：  
`uncompyle6 struct.pyc > output.py    #将struct.pyc反编译为output.py`

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-cedd1b7daad7e316c9fc17d79758f68645d33b8a.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-3f15cbc92418f76bfeb8c3b7f05bd79296784258.png)

但是直接反编译前面的主程序会报错：  
打开这两个文件进行比较：

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-faa5916942e88cfe751319cff89ad0e7d78aedfa.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-2eba06fa9ed0dcc163d7e756a0e0c2f4b9602f9a.png)  
前16个字节是不一样的，后面的能编译，前面的不能，按网上教程给它改成一样的，将后面的前一段复制到另一个pyc文件里，就可以反编译了，还是用上面那个命令。

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-aee25f4a2c8c3ee35388190171cd3e621df813b6.png)  
这里给浪子哥的球球号打个马赛克：

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-cc63dafefafdbe87e1098aa8f2027c3c19f22639.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-3408d7b98d3f862d63d59a251160781901fe2043.png)

追踪url\_check来源：  
还是先读取了输入的一个txt文档，也就是程序中的test.txt,将这里面的url当作初始url，去访问他们顺便进行扫描，然后在这些url网页中爬取新的url，再存入check中，新数据来源就是网页中爬取到的链接。这里也解答了为什么受害IP数量众多的原因，并不是针对性攻击，而是因为友情链接带的有！

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-ca6ebc28ebeef9d543c73d57c004d57a1cd82a82.png)

![image.png](https://shs3.b.qianxin.com/attack_forum/2024/05/attach-304454f122a3baca27a47891c3b6afc15ecaf1e0.png)  
这里的扫描后缀除了常规的一些备份名字之外，还会使用域名作为名字去扫描，挺不错的。然后除了扫描备份还有一些其他的敏感信息，好像还看见了struts2的一些漏洞利用扫描，但是在攻击中没看见。浪子哥还是有实力的。

### 总结

这是一个不针对任何行业仅仅为了扫描网站备份的程序，通过网页上的友情链接达成无限扫描的目的。

发表于 2024-05-16 09:00:00
阅读 ( 4886 )
分类：应急响应

1 条评论

M0urn 2024-08-30 20:47

工具作者的qq不一定是攻击者的qq，应该是直接拿现成工具用的