红蓝对抗第二期

Posted by 跳跳龙 on September 17, 2019

(文章版权归笔者跳跳龙所有,谢绝转载)

Apache Module(backdoor)

在Apache的配置文件里主动加载自定义的模块(so文件) 这样 apache启动之后,就会执行我们so文件的代码。 代码大致如下:

将上面的代码用g++编译之后,利用apache2主动加载。 下面为客户端的发包代码,主要用来加密解密流量,防止被蓝方发现。

最终的效果如下:

返回的数据可以经过python脚本解密即可!

收获:

类似这种模块性质的们在其他的中间件上也比较普遍。

hids识别问题

1.thinkphp5 eval($_POST[‘a’]) 可以检测。(满足了我们一些基本需求,一些小黑客是不会上传免杀度高的马儿)

2.稍微复杂一点的马儿就能绕过hids的规则。

3.底层 二进制层面的门不检测。(应该是性能原因,没办法全盘检测二进制的后门,顶多是规则,特征)

4.纵深防御的理解。(不能靠一个东西来解决现有的安全体系问题!,在对的地方做对的事情)

最后的flag迹象是在bash_history中发现了蛛丝马迹,将flag写入了图片文件头中。

防御方式

1.webshell aaa.php重命名aaa.php.bak 可配合解析漏洞实现webshell假死。

反思:

find /etc -type f | xargs grep "flag-"

/etc/ssh/sshd_config:#flag-iiioo88909

/var/spool/cron/crontabs/root:* * * * */1 flag-xxxxuuuyyywqO

/usr/local/httpd/htdocs/info.php:flag-iiiuuu8988 flag-xxx

vim /root/.bash_history

echo “flag-iiiiiiiii” > packerbeat.8

head -h 7.jpg