iT邦幫忙

2024 iThome 鐵人賽

DAY 12
0
Security

資安日誌分析系列 第 12

12. Windows 網站入侵分析(WordPress)-2

  • 分享至 

  • xImage
  •  

說明

接續上一章,模擬幾個攻擊手法後,從EventLog反推事件如何發生

作法

瀏覽器Agent異常

首先可以查找使用Curl或Python關鍵字,因為這都不是一般使用者操作行為,從Log看,使用Python-urllib,URL中又包了一個URL,這是一個LFI(Local File Inclusion),利用這個漏洞取得wp-config.php的config設定
https://ithelp.ithome.com.tw/upload/images/20240926/20077752zkkxG1FVpr.png

搜尋site-import wordpress exploit查到被利用的弱點

WordPress Plugin Site Editor 1.1.1 - Local File Inclusion
https://www.exploit-db.com/exploits/44340

wp-config.php有連到DB等設定,保護不好將被取到密碼及DB連線方式等等
https://ithelp.ithome.com.tw/upload/images/20240926/20077752G7pES96PFq.png

時間異常

當已經分析到異狀後,駭客這時通常想要找Injection或upload的漏洞去控制主機,可以針對那個時間區間異常大的time-taken去調查,查看query plainview_activity_monitor這個特別長
https://ithelp.ithome.com.tw/upload/images/20240926/20077752cR2Qajv7TG.png

Sysmon Type(處理程序建立),找Log發生的前後1分鐘看到以下紀錄,可以看出利用wordpress下whoami的指令,表示已經可以被Injection命令了
https://ithelp.ithome.com.tw/upload/images/20240926/20077752vCmkw0sVF4.png

查找plainview_activity_monitor wordpress exploit 為此弱點被利用

WordPress Plugin Plainview Activity Monitor 20161228
https://www.exploit-db.com/exploits/45274

REF

資安這條路 06 - [Injection] Code injection - Local File Inclusion, Remote File Inclusion
https://ithelp.ithome.com.tw/articles/10241555
IISLog應用案例分享: 統計特定網頁的平均執行時間
https://blog.darkthread.net/blog/log-parser-case-for-time-taken/


上一篇
11. Windows 網站入侵分析(WordPress)-1
下一篇
13. Windows 網站入侵分析(WordPress)-3
系列文
資安日誌分析30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言