第二届parloo应急响应-复现

OneZ3r0 Lv3
  2025-06-22 10:58:49 2025-06-22 10:58:49 创建   2025-07-29 18:03:58 2025-07-29 18:03:58 更新    

前言

复现一下应急响应,序号无关,只记录有用的知识点

畸形的爱

1-1 日志1
1
2
3
4
5
6
7
netstat -anltup
-a, --all
-n, --numeric
-l, --listening
-t, --tcp
-u, --udp
-p, --program

webserver 查日志,/var/log 由于题目是nginx,所以查看/var/log/nginx/access.log.1 可以找到一些发起过恶意请求的ip

1-2 日志2
1
2
3
history # 查看运维执行过哪些命令
docker ps -a # 查看docker容器
docker exec -it container_id /bin/sh # 进入指定容器环境

我们可以进入80端口的web服务容器/var/www/html读取网站中的clean.sh

1-3 日志3

一般登录业务是最有可能爆破的,所以可以进入phpmyadmin容器找日志,但是没有。而docker 容器是会将日志写到标准输出的

1
docker logs phpmyadmin
1-4 计划任务
1
2
crontab -l, linux
taskschd.msc, windows
1-5 hash计算
1
certutil -hashfile file_path md5/sha256...
1-6 隐藏账户

d盾克隆检测,mimikatz跑账户hash,cmd5查出来隐藏账户密码

1
2
3
4
5
6
7
# 管理员权限运行
reg save hklm\sam sam.save
reg save hklm\system system.save

mimikatz
privilege::debug
lsadump::sam /sam:sam.save /system:system.save
1-7 exe溯源

ida分析exe,根据路径中的用户名溯源

1
https://api.github.com/users/<name>/events/public

主线

1-1 用户排查
1
cat /etc/shadow
1-2 外联IP、进程排查
1
2
3
4
5
6
7
8
9
ps -ef | grep PID/program_name
-e, -A
-f, full format

systemctl status PID
ctl control # 类似systemd daemon 守护进程

systemtl cat name
cat /etc/systemd/system/xxx.service

如果计划任务没问题,那么大概率就是Restart=always,这个时候只有systemctl stop 能够停止服务

1-3 服务下载
1
2
python3 -m http.server port
-m, module-name
1-4 劫持程序排查
1
2
3
4
ls -alh /usr/bin /bin /usr/sbin /sbin | grep -vE 'root|staff|bin'
-h, --human-readable
-v, --invert-match  # 取反
-E, --extended-regexp  # regular expression

/bin:基础命令,如lscp
/usr/bin:扩展命令,如vimpython3
/sbin:系统管理命令,如ifconfigreboot
/usr/sbin:更多管理命令,如sshdapache2

  • 标题: 第二届parloo应急响应-复现
  • 作者: OneZ3r0
  • 创建于 : 2025-06-22 10:58:49
  • 更新于 : 2025-07-29 18:03:58
  • 链接: https://blog.onez3r0.top/2025/06/22/parloo-2025-emergence-response-reproduction/
  • 版权声明: 本文章采用 CC BY-NC-SA 4.0 进行许可。
目录
第二届parloo应急响应-复现
  1. 前言
  2. 畸形的爱
  3. 主线