应急响应-vulntarget-k-01

主要观点总结

本题描述了一个应急响应工程师小王在接到安全设备告警后，对服务器被植入恶意文件的情况进行排查的过程。文章首先分析了题目的环境，并提到了常规的外网打点操作和漏洞扫描。接着，详细描述了XXL-JOB的漏洞原理、影响版本和EXP（利用方法）。在环境所遇问题部分，文章提到了不出网和8080端口关闭的情况，并提出通过利用executor未授权访问漏洞来解决问题。文章最后，给出了应急步骤和题目的答案。

关键观点总结

关键观点1: 题目背景与环境分析

题目描述了一个应急响应工程师小王在接到安全设备告警后，对服务器被植入恶意文件的情况进行排查的过程。环境分析指出，这是一个中型环境，针对XXL-JOB的第一步环境，不涉及后续目标的渗透，需要重走攻击路径，还原漏洞情况。

关键观点2: 漏洞原理与影响

文章详细描述了XXL-JOB的漏洞原理，即executor默认未配置认证，攻击者可以通过RESTful API执行任意命令。漏洞影响版本为XXL-JOB <= 2.2.0。EXP（利用方法）包括POST请求和内存马的使用。

关键观点3: 环境所遇问题与解决方案

在环境所遇问题部分，文章提到了不出网和8080端口关闭的情况，并提出通过利用executor未授权访问漏洞来解决问题。具体方案包括利用内存马进行连接和反弹shell。

关键观点4: 应急步骤与题目答案

文章最后给出了应急步骤和题目的答案，包括黑客添加的网站后门用户名和密码、反弹shell的服务器IP和端口等。总结部分强调了应急过程中结合红队思路的重要性，并建议固定镜像后再进行漏洞利用和应急响应。

文章预览

题目描述： 应急响应工程师小王某人收到安全设备告警服务器被植入恶意文件，请上机排查！ 根据题目环境简单分析，此道题目是一个中型环境，由于题目本身只是针对于 XXL-job 第一步环境，所以后续目标的渗透无需完成，题目设置思路为应急人员重走攻击路径，还原攻击路径，适用于快速确定受害主机漏洞情况，与常规上机排查不一样，更有意思一点 1.常规外网打点操作 nmap 扫描端口，确认此主机目前开放 ip 的情况，发现仅有 8081，9999 开放，通过端口，熟悉打点的就可以快速知道这个漏洞情况，应存在 XXL-job 的漏洞 └─# nmap -v -sS -Pn -p- 43.192 .8.125 PORT STATE SERVICE 22 /tcp open ssh 80 /tcp filtered http 135 /tcp filtered msrpc 136 /tcp filtered profile 137 /tcp filtered netbios-ns 138 /tcp filtered netbios-dgm 139 /tcp filtered netbios-ssn 443 /tcp filtered https 445 /tcp ………………………………