2008R2 x86 + IIS 7.5 CN

模拟排查攻击点

模拟:.net 网站遭受了攻击,现在进行排查

思路:重点日志分析

1
开始->管理工具->IIS管理器->IIS75CN->网站->新翔人事系统免费版->日志->目录->路径

在高级配置中查找网站 id ,发现为 5 ,所以选择 W3SVC5

配置网站绑定 ip ,打开 ip 地址

日志字段顺序:

#Fields: date time s-ip cs-method cs-uri-stem cs-uri-query s-port cs-username c-ip cs(User-Agent) sc-status sc-substatus sc-win32-status time-taken

UA头显示里有被 sqlmap 攻击

查看日志提交方式 POST 部分很可能有漏洞,再看返回 状态码 200

2948是返回包长度

访问网站:验证攻击点

在自己电脑利用狐狸工具验证漏洞点:python sqlmap.py -u “http://ip:port/default.aspx” --data

返回查看日志显示

物理机访问虚拟机网站配置

虚拟机设置:网络适配器,复制物理网络连接状态

网络和共享中心 -> 网络连接 -> 本地连接 -> 属性 -> internet协议版本4(TCP/IPV4属性) -> 勾选自动获得IP地址

设置完网络连接重启后,物理机可以连接该网站。

web日志里面常见的内容

缺点

POST记录不细致

thinkphp搭建漏洞复现

笑死,这节课迪总复现环境又被腾讯电脑管家干翻车了哈哈哈哈哈哈哈

工具资源

ChinaRan0/BlueTeamTools 应急工具

One-Fox-Security-Team/One-Fox-T00ls 狐狸工具

许可协议

本文由FlowsecNagi编写,采用非商业性使用-相同方式共享 4.0 国际](https://creativecommons.org/licenses/by-nc-sa/4.0/) 许可协议,转载请注明出处。

快来参与讨论吧~