记对知攻善防靶机Web2的一次应急响应
HW--应急响应靶机--Web2
所有靶机均来自知攻善防实验室
靶机整理:
夸克网盘:https://pan.quark.cn/s/4b6dffd0c51a#/list/share
百度云盘:https://pan.baidu.com/s/1NnrS5asrS1Pw6LUbexewuA?pwd=txmy
官方WP:https://mp.weixin.qq.com/s/opj5dJK7htdawkmLbsSJiQ
蓝队应急响应工具箱:
夸克网盘:https://pan.quark.cn/s/6d7856efd1d1#/list/share
百度云盘:https://pan.baidu.com/s/1ZyrDPH6Ji88w9IJMoFpANA?pwd=ilzn
前景需要: 小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。 这是他的服务器系统,请你找出以下内容,并作为通关条件: 1.攻击者的IP地址(两个)? 2.攻击者的webshell文件名? 3.攻击者的webshell密码? 4.攻击者的伪QQ号? 5.攻击者的伪服务器IP地址? 6.攻击者的服务器端口? 7.攻击者是如何入侵的(选择题)? 8.攻击者的隐藏用户名?
解题关键点
Apache、FTP日志
Log Parser 远程登录日志
QQ文件默认存放位置
虚拟机登录
账号:Administrator
密码:Zgsf@qq.com
#解题.exe 1.攻击者的IP地址(两个)? 2.攻击者的webshell文件名? 3.攻击者的webshell密码? 4.攻击者的QQ号? 5.攻击者的服务器伪IP地址? 6.攻击者的服务器端口? 7.攻击者是如何入侵的(选择题)? 8.攻击者的隐藏用户名?
攻击IP1
查找Apache日志
打开PHPstudy的Apache服务,打开网站,发现了WordPress的经典favicon.ico,确定CMS为WordPress
分析Apache日志,发现IP为192.168.126.135的攻击者可能用了wpscan工具进行了目录扫描
#攻击IP1 192.168.126.135
攻击IP2 | webshell文件名与密码 | 入侵方式
时间越往下是越新的日志,没有找到Webshell上传的特征,但是查看最新日志发现system.php一直被访问,疑似为Webshell文件
如果不是通过Web页面上传,看看有没有其他的上传点。找了一圈发现存在FTP服务,且密码为弱口令admin666888,攻击者很可能进行爆破
查看FTP日志,发现攻击者进行密码爆破过程
C:phpstudy_proExtensionsFTP0.9.60Logsfzs-2024-02-29.log
查询system.php文件发现存在一次完整的FTP文件传输过程,可以判定攻击者是利用FTP服务进行攻击
查看system.php文件,确定为Webshell文件,且连接密码为hack6618,发现存在key ,攻击者可能利用的是冰蝎或者哥斯拉等Webshell管理工具
利用日志分析工具Log Parser一键分析Windows 日志,查看远程桌面登录成功日志,发现攻击者的隐藏用户hack887$,且发现攻击IP为192.168.126.129
#攻击IP2 192.168.126.129 #webshell文件名 system.php #webshell密码 hack6618 #入侵方式 FTP攻击
伪QQ号
查看用户没发现攻击用户,是隐藏用户,尝试利用cmd命令删除攻击者用户,发现不能删除
猜测为克隆账号,利用D盾的克隆账号检测工具发现确实克隆了管理员的账号
在攻击者用户找到了注册表项,可能添加了注册表信息
打开regedit注册表,寻找攻击者用户
如果需要删除用户,删除攻击者用户以及3E8即可
但是D盾自带删除账号功能,可直接右键,选择删除账号进行删除
发现删除成功
检查发现已经删除干净
由于是克隆用户,肯定会留下一些信息,寻找攻击者遗留下来的信息,在文档内发现Tencent Files文件夹,猜测使用过腾讯的通讯工具,打开后发现黑客伪QQ号777888999321
哪个人会在服务器装通讯工具???
#伪QQ号 777888999321
伪服务器IP地址与端口
进入后发现 在FileRecv目录下存在frp(内网穿透工具),在frpc.ini 配置文件中找到伪IP256.256.66.88 以及伪端口65536
#伪服务器IP地址 256.256.66.88 #端口 65536
成功通关
#通关Payload 192.168.126.129 192.168.126.135 system.php 777888999321 256.256.66.88 3 65536 hack887$
已在FreeBuf发表 11 篇文章
本文为 Derryli 独立观点,未经允许不得转载,授权请联系FreeBuf客服小蜜蜂,微信:freebee2022
相关知识
记对知攻善防靶机Web2的一次应急响应
知攻善防应急响应靶机训练
[护网训练]应急响应靶机整理
知攻善防Web1应急靶机笔记
应急响应靶机
[护网训练]原创应急响应靶机整理集合
前来挑战!应急响应靶机训练
Windows靶机应急响应(一)
【护网急训】应急响应靶场集,24年想参加hvv的同学抓紧练习吧。
【hvv训练】应急响应靶机训练
网址: 记对知攻善防靶机Web2的一次应急响应 https://m.mcbbbk.com/newsview523118.html
| 上一篇: 应急反应 |
下一篇: Linux应急响应靶机 1 |
