记录某项目中一次较为顺利的溯源反制过程

admin 2026-07-13 05:33:57 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 该文档记录了一次网络安全事件的溯源反制过程。攻击者使用扫描器扫描网站备份文件,通过phpmyadmin弱口令获取shell。分析发现扫描工具通过友情链接爬取URL进行无限扫描,并非针对性攻击。建议加强弱口令管理和异常连接监控。 综合评分: 87 文章分类: 应急响应,漏洞分析,红队,内网渗透,安全工具


cover_image

记录某项目中一次较为顺利的溯源反制过程

11123 11123

只会看监控的实习生

2026年7月12日 08:00 广东

在小说阅读器读本章

去阅读

时间

202X年7月19日下午,刚睡醒就发现上午好像漏了一条攻击告警(简陋的图,体谅一下),还好为时不晚,先上报再溯源反制一下。

起因

此番攻击时间上相对连续,可以初步判断为扫描器,然后受害ip数量较多,猜测可能是一次针对性的攻击,攻击者将收集到的资产统一进行扫描。所以还是有溯源的必要。

反制

威胁情报平台上跑一下发现并未被标记恶意IP:

无所谓,礼尚往来,你扫我我扫你,上dirsearch!很快就发现了突破口:

是的,朴实无华的phpmyadmin,朴实无华的弱口令,朴实无华的拿shell。初步判断,该机器为傀儡机,攻击者通过phpmyadmin日志写入shell拿下了这台机器。这里还疑惑什么马子26MB这么大,后面才反应过来这是日志,感情这26MB也有我贡献的。 弱口令root/root:

在数据库中找到了我方的资产,再一次确定了这个就是攻击资源。 日志拿shell:

随后上线CS,获取账号密码:

信息收集一波,发现开放了23389端口:

随即远程桌面过去,但是未在傀儡机上发现其他账号和服务,也没发现有异常连接,只有一个程序一直再运行:

这个应该就是扫描器了,像是python写的,第一感觉就是。看运行界面,应该是一直在扫备份文件的,先下载到本地再分析。

分析扫描工具

解压工具,全部文件如下:

看工具介绍主要就是扫描和爬虫的功能,那就反编译一下试试。 这里需要一个工具,pyinstxtractor.py。用它来进行解包操作,这个文件复制到待解包exe 同级目录下,运行如下命令(python3): python pyinstxtractor.py xx.exe 两个exe反编译后就是这样:

进入main.exe_extracted文件下如下:

需要注意的是 1.exe.mainifest 和 1.pyc 网上的教程上来说 1.pyc是没有后缀的 但是后面也需要改成pyc后缀,这里直接就有后缀,如果没有的话就加上。这两个文件是源文件本身的名字,不管后面exe叫什么,它打包之前就是这个名字。1.py是我解包后的文件,这里可以忽略它。 还是这个文件夹往下看有一个struct.pyc的文件:

经过测试,这个pyc文件可以直接反编译出来,安装uncompyle 来反编译文件,命令如下: pip install uncompyle 如果电脑安装多个python版本,建议再执行一下 pip3 install uncompyle 反编译命令如下: uncompyle6 struct.pyc > output.py    #将struct.pyc反编译为output.py

但是直接反编译前面的主程序会报错: 打开这两个文件进行比较:

前16个字节是不一样的,后面的能编译,前面的不能,按网上教程给它改成一样的,将后面的前一段复制到另一个pyc文件里,就可以反编译了,还是用上面那个命令。

这里给浪子哥的球球号打个马赛克:

追踪url_check来源: 还是先读取了输入的一个txt文档,也就是程序中的test.txt,将这里面的url当作初始url,去访问他们顺便进行扫描,然后在这些url网页中爬取新的url,再存入check中,新数据来源就是网页中爬取到的链接。这里也解答了为什么受害IP数量众多的原因,并不是针对性攻击,而是因为友情链接带的有!

这里的扫描后缀除了常规的一些备份名字之外,还会使用域名作为名字去扫描,挺不错的。然后除了扫描备份还有一些其他的敏感信息,好像还看见了struts2的一些漏洞利用扫描,但是在攻击中没看见。浪子哥还是有实力的。

总结

这是一个不针对任何行业仅仅为了扫描网站备份的程序,通过网页上的友情链接达成无限扫描的目的。

原文链接:https://forum.butian.net/share/2982


免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:只会看监控的实习生 11123 11123《记录某项目中一次较为顺利的溯源反制过程》

评论:0   参与:  0