介绍

网页篡改，即攻击者故意篡改网络上传送的报文，通常以入侵系统并篡改数据、劫持网络连接或插入数据等形式进行。
网页篡改一般有明显式和隐藏式两种。明显式网页篡改指攻击者为炫耀自己的技术技巧，或表明自己的观点实施的网页篡改；隐藏式网页篡改一般是在网页中植入色情、诈骗等非法信息链接，再通过灰色、黑色产业链牟取非法经济利益。攻击者为了篡改网页，一般需提前找到并利用网站漏洞，在网页中植入后门，并最终获取网站的控制权。

步骤

利用find / -name index.jsp，找到服务器的根目录

可以看到使用了tomcat中间件，web服务中有个struts2框架
查看/opt/tomcat9/webapps/ROOT/index.jsp文件，可以看到通过搜索引擎百度、搜搜、谷歌、有道、搜狗访问该文件，都会跳转到https://www.XXXXXXXX.com网站。

先查看tomcat的日志，根据之前找到的tomcat目录可知/opt/tomcat9/logs/，access_log是访问日志

在查看localhost_access_log.2021-02-24.txt日志过程中，可以看到外部ip访问了tomcat的管理界面，并且使用tomcat账户

查看tomcat的配置文件/opt/tomcat9/conf/tomcat-users.xml，可以看到使用的是默认的账户密码

使用命令cat localhost_access_log.20* | grep tomcat可以查看所有使用tomcat账户登陆的IP，只有192.168.184.128一个ip

查看localhost_access_log.2021-02-25.txt日志内容，可以看到有大量404请求，推测对目录进行暴力破解

针对这个日志文件使用cat localhost_access_log.20* | awk '{print $1}'|sort -r -n |uniq -c对每个IP的请求次数统计

查看日志可以知道192.168.184.1和192.168.184.146都进行了目录扫描爆破
cat localhost_access_log.20* | grep IP查看两个IP的其他异常行为。IP192.168.184.1访问了几个异常的文件

检查几个文件，config.jsp是webshell文件

使用root目录下的mingling.txt的命令复原web服务器
再使用java -jar 漏洞验证文件使用struts2工具进行漏洞验http://ip:8080/struts2-showcase/index.action·，判断攻击者利用了struts2漏洞（工具在目录/root下）