标签：shell 2022 CobaltStrike 确认 流量 提交 wp 攻击者 Solr

链接：https://pan.baidu.com/s/1RVgI7CASZ6sJg3pF2A0d2Q 
提取码：1go0 

问题：
1、确认并提交攻击者的IP 地址
2、确认并提交攻击者首次请求 Apache Solr 服务的时间，格式：2022-05-01/12:00:00
3、确认并提交攻击者登录 Solr 服务使用的用户名和密码，格式：Username:Password。
4、确认并提交攻击者利用 Solr 服务访问的 DNS 域名。
5、确认并提交攻击者首次反弹 shell 时的监听端口。
6、确认并提交攻击者从哪一个应用程序中提取了 MSSQL 数据库 sa 用户的密码。
7、确认并提交攻击者利用 MSSQL 命令执行时使用的程序集名称。
8、确认并提交攻击者下载的 CobaltStrike 木马的 MD5 值。
9、确认并提交 CobaltStrike 载荷接收并执行的命令
10、确认并提交攻击者启用的后门用户的名称。
11、确认并提交攻击者通过注册表执行的反弹 shell 脚本的 MD5 值。
12、确认并提交攻击者使用的 CobaltStrike 版本号，如：1.0。

只有一个数据包，wireshark打开看一看。

问题：
1、确认并提交攻击者的IP 地址。

过滤下http请求，可以看到攻击者的IP为172.31.1.17，网站ip为101.34.174.73

由上图可以看到攻击方登录后台后上传reverse_shell. ps1和1.exe文件。其中reverse_shell. ps1为反向代理脚本，1.exe为cs马。

通过导出http对象得到对应的reverse_shell. ps1和1.exe

查看对应文件的md5值。

通过追踪reverse_shell. ps1的TCP流，可以看到攻击者首次反弹 shell 时的监听端口为1234

通过tcp.port==1234语句过滤端口为1234的流量。

追踪其中一条TCP流量，可以看到攻击者执行的命令

 

 

 

 

 

 

 

 

 

 

通过上图命令可知，攻击者通过提取Chrome的缓存得到solr服务的用户名、密码以及MSSQL 数据库 sa 用户的密码。（实际在提交过程中发现solr服务的用户名为Solr:SolrRocks，首字母大写。）

通过上图可以得到攻击者利用 Solr 服务访问的 DNS 域名，试了几个发现为ocsp.digicert.com

2、确认并提交攻击者首次请求 Apache Solr 服务的时间，格式：2022-05-01/12:00:00

根据CS特征与隐藏这篇文章（https://www.jianshu.com/p/e7701efef047）了解到cs的http流量特征。

7、确认并提交攻击者利用 MSSQL 命令执行时使用的程序集名称。

9、确认并提交 CobaltStrike 载荷接收并执行的命令。

10、确认并提交攻击者启用的后门用户的名称。Guest

12、确认并提交攻击者使用的 CobaltStrike 版本号，如：1.0。

 

标签：shell,2022,CobaltStrike,确认,流量,提交,wp,攻击者,Solr
来源： https://www.cnblogs.com/1go0/p/16324557.html

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。