知攻善防 Web2 应急靶机笔记

知攻善防 Web2 应急靶机笔记

概述

这是一台知攻善防实验室的应急响应靶机,主要还是练习应急响应的一些技巧,熟悉一些应急所用到的工具。

靶机可以关注他们的公众号《知攻善防实验室》进行获取

题目

欢迎使用 知攻善防实验室 解题系统:

在解题前,请确保您已解的一下内容:

1.攻击者的 IP 地址(两个)
2.攻击者的 webshell 文件名
3.攻击者的 webshell 密码
4.攻击者的 QQ 号
5.攻击者的服务器伪 IP 地址
6.攻击者的服务器端口
7.攻击者是如何入侵的(选择题)

8.攻击者的隐藏用户名

题解

1)webshell 文件

看到有 phptudy 的程序,可以打开看看这台 windows 开启了什么服务

image-20240912150220038

看到网站 、数据库、FTP 都有对应的用户

我们用 d 盾看一下根目录有什么后门、webshell、恶意程序

image-20240912150723202

看到一个已知后门,应该就是 webshell 了

system.php

2)webshell 密码

打开看一看

image-20240912152827557

看到 webshell 密码为

hack6618

3)攻击者 ip

a)第一个攻击者 ip

可以去看看对应日志的访问记录

image-20240912151102555

搜索 webshell 文件的访问记录。因为攻击者上传了 webshell,肯定会进行连接等操作

image-20240912151225953

攻击者 ip

192.168.126.135

接着可以看看 FTP 服务是不是被攻击,FTP 文件传输的服务,也是攻击者比较喜欢攻击的服务

image-20240912151631440

FTP 服务中 226 为登录成功的,530 是登录失败的操作

image-20240912152436655

看到这个 ip 和我们的 webshell 中的攻击 ip 是一样的。不过依然可以搜索一下成功的记录

image-20240912152634848

看到攻击者是通过 FTP 服务上传的 webshell 文件

4) 隐藏用户名

可以去看看有没有对应的 windows 的后门用户

打开注册表

计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

image-20240912153152410

看到有 hack887$的隐藏用户

b) 第二个攻击者 ip

打开 windows 的日志查看器,可以看到账户的登陆情况

这里可以用 window 的日志分析工具

windodws-logs-analysis

 git clone https://github.com/dogadmin/windodws-logs-analysis.git

image-20240912155258819

image-20240912155347646

看到远程登陆 ip

192.168.126.129

5)伪 IP 地址

查看最近操作目录

%userprofile%/Recent

image-20240912160416747

看到内网穿透工具 frp 相关的文件

image-20240912160512744

打开 frpc.ini 配置文件

image-20240912160553969

看到伪 ip

256.256.66.88

伪端口

65536

6)QQ 号

打开 frpc 所在位置

image-20240912160747392

看到 Tencent Files

image-20240912160836285

那么QQ号应该就是

777888999321

答案

system.php
hack6618
192.168.126.135
192.168.126.129
hack887$
256.256.66.88
65536
777888999321
image-20240912161400252
posted @ 2024-09-12 16:24  Ling-X5  阅读(251)  评论(0编辑  收藏  举报