iT邦幫忙

2024 iThome 鐵人賽
DAY 12
0
Security

資安日誌分析系列 第 12

12. Windows 網站入侵分析(WordPress)-2

16th鐵人賽
88 瀏覽

  • 分享至 

  • xImage
    •  

說明

接續上一章,模擬幾個攻擊手法後,從EventLog反推事件如何發生

作法

瀏覽器Agent異常

首先可以查找使用Curl或Python關鍵字,因為這都不是一般使用者操作行為,從Log看,使用Python-urllib,URL中又包了一個URL,這是一個LFI(Local File Inclusion),利用這個漏洞取得wp-config.php的config設定
https://ithelp.ithome.com.tw/upload/images/20240926/20077752zkkxG1FVpr.png

搜尋site-import wordpress exploit查到被利用的弱點

WordPress Plugin Site Editor 1.1.1 - Local File Inclusion
https://www.exploit-db.com/exploits/44340

wp-config.php有連到DB等設定,保護不好將被取到密碼及DB連線方式等等
https://ithelp.ithome.com.tw/upload/images/20240926/20077752G7pES96PFq.png

時間異常

當已經分析到異狀後,駭客這時通常想要找Injection或upload的漏洞去控制主機,可以針對那個時間區間異常大的time-taken去調查,查看query plainview_activity_monitor這個特別長
https://ithelp.ithome.com.tw/upload/images/20240926/20077752cR2Qajv7TG.png

Sysmon Type(處理程序建立),找Log發生的前後1分鐘看到以下紀錄,可以看出利用wordpress下whoami的指令,表示已經可以被Injection命令了
https://ithelp.ithome.com.tw/upload/images/20240926/20077752vCmkw0sVF4.png

查找plainview_activity_monitor wordpress exploit 為此弱點被利用

WordPress Plugin Plainview Activity Monitor 20161228
https://www.exploit-db.com/exploits/45274

REF

資安這條路 06 - [Injection] Code injection - Local File Inclusion, Remote File Inclusion
https://ithelp.ithome.com.tw/articles/10241555
IISLog應用案例分享: 統計特定網頁的平均執行時間
https://blog.darkthread.net/blog/log-parser-case-for-time-taken/


上一篇
11. Windows 網站入侵分析(WordPress)-1
下一篇
13. Windows 網站入侵分析(WordPress)-3
系列文
資安日誌分析30
  1. 26
    26. Linux 提權(Cronjob)
  2. 27
    27. SQL Injection分析 (sqlmap)
  3. 28
    28. SQL Injection偵測(Snort)
  4. 29
    29. SQL Injection 規避偵測(Coraza)
  5. 30
    30. 總結
完整目錄
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言
iThome鐵人賽
參賽組數
1064
團體組數
40
累計文章數
22200
完賽人數
602
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 16th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 javascript 2018鐵人賽 python 2017鐵人賽 windows php c# windows server linux css react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙