496 字
2 分鐘
TeamT5 Security Camp 2026 資安事件調查
2025-12-27
Malware Analysis
Malware Analysis
/
Writeup

資安事件調查#

作者:陳揚叡

答題整理 (TL;DR)#

  • 攻擊者的來源 IP
    • 5.182.216.74 (執行RCE)
    • 47.89.58.141 (竊取MachineKey)
    • 72.21.91.29 (執行Python自動化工具)
  • 攻擊者首次存取 SharePoint 網站的時間
    • 2025/7/21 00:00:06
  • 攻擊者使用什麼方法成功在主機執行惡意的指令
    • CVE-2025-53770
  • 攻擊者植入了哪些 Webshell
    • spinstall0.aspx

分析流程#

題目分別給了兩個 log 檔案 u_ex250721.log , u_ex250722.log ,根據題目描述可知這是一台 SharePoint 主機的 IIS Server。

簡單搜尋相關發現了CVE-2025-53770

他的原理是利用請求中的 Referer 中加入: https://target.com/_layouts/SignOut.aspx

所以大方向可以分析Log檔是否存在此特徵

初步偵查#

首先可以先檢查是否有用工具自動化偵查,發現在 2025/7/21 05:28:11 第一次嘗試 Python 自動化工具並往前追知道該 IP 最早在 2025/7/21 00:00:06 連線測試

2025/7/21 00:00:06 10.2.1.20 GET / - 443 - 72.21.91.29 - - 200 0 0 31
2025/7/21 05:28:11 10.2.1.20 GET /Awards/ - 443 - 72.21.91.29 python-requests/2.32.4 - 200 0 0 31

同時 2025/7/21 11:48:18 確認了存在 /_layouts/15/ToolPane.aspx 路徑

2025/7/21 11:48:18 10.2.1.20 GET /_layouts/15/ToolPane.aspx DisplayMode=Edit 443 - 5.182.216.74 python-requests/2.32.3 - 200 0 0 234

繞過認證機制#

下一步嘗試追蹤特徵 SignOut.aspx 並發現攻擊者在請求中添加特定 Referer /_layouts/SignOut.aspx 並成功繞過認證機制訪問 ToolPane.aspx

2025/7/21 13:12:07 10.2.1.20 POST /_layouts/15/ToolPane.aspx DisplayMode=Edit&a=/ToolPane.aspx 443 - 5.182.216.74 "Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/137.0.0.0+Safari/537.36" /_layouts/SignOut.aspx 200 0 0 5468

部署惡意檔案#

攻擊者上傳並存取了WebShell檔 spinstall0.aspx,讀取伺服器的 MachineKey

2025/7/21 13:12:11 10.2.1.20 GET /_layouts/15/spinstall0.aspx - 443 - 47.89.58.141 "Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64)+AppleWebKit/537.36+(KHTML,+like+Gecko)+Chrome/137.0.0.0+Safari/537.36" /_layouts/SignOut.aspx 200 0 0 62

後續、額外發現#

在取得 MachineKey 後攻擊者可以偽造 ViewState 並可以穩定 RCE

規避偵測#

還可以發現攻擊者在 2025/7/21 15:34:36 嘗試偽造成一個外部流量 https:/www.teamt5camp.org/_layouts/SignOut.aspx

2025/7/21 15:34:36 10.2.1.20 POST /_layouts/15/ToolPane.aspx DisplayMode=Edit&a=/ToolPane.aspx 443 - 5.182.216.74 Mozilla/5.0+(Windows+NT+10.0;+Win64;+x64;+rv:120.0)+Gecko/100101+Firefox/120.0 https:/www.teamt5camp.org/_layouts/SignOut.aspx 200 0 0 343

威脅情資:自動化工具 (Nuclei)#

攻擊者在時間點 2025/7/22 04:08:51 利用了 https://github.com/darses/nuclei-templates/blob/main/CVE-25-53770.yaml CVE-2025-53770 的自動化工具

2025/7/22 04:08:51 10.2.1.20 POST /_layouts/15/ToolPane.aspx DisplayMode=Edit&a=/ToolPane.aspx 443 - 5.182.216.74 https://github.com/darses/nuclei-templates/blob/main/CVE-25-53770.yaml /_layouts/SignOut.aspx 200 0 0 46

Note: 攻擊者名稱可能為darses

TeamT5 Security Camp 2026 資安事件調查
https://bearrr777.github.io/posts/teamt5/資安事件調查/
作者
RUI
發佈於
2025-12-27
許可協議
CC BY-NC-SA 4.0
TeamT5 Security Camp 2026 惡意程式分析
HackTheBox | Planning (Easy) Write Up
© 2025 RUI. All Rights Reserved. / RSS / Sitemap
Powered by Astro & Fuwari