点击蓝字 关注我们
免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
添加星标不迷路
由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦
下载靶机
从夸克网盘下载靶机
夸克网盘分享了「应急响应靶机练习-Web2」,点击链接即可保存。
链接:https://pan.quark.cn/s/3ca80a85d48b#/list/share
挑战内容
前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。
这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的IP地址(两个)?
2.攻击者的webshell文件名?
3.攻击者的webshell密码?
4.攻击者的伪QQ号?
5.攻击者的伪服务器IP地址?
6.攻击者的服务器端口?
7.攻击者是如何入侵的(选择题)?
8.攻击者的隐藏用户名?
相关账户密码
用户:administrator
打开环境
解压后用Vmware打开靶机环境
点击打开–》点击【获取所有权】,打开虚拟机–》点击【我已复制该虚拟机】
OK,环境开启,输入密码:[email protected]
题目
点击桌面上的解题.exe开始解题
题目一、
1.攻击者的IP地址(两个)?
IP的话肯定是要看日志的,打开phpstudy,打开根目录,然后找到Apache日志
C:phpstudy_proExtensionsApache2.4.39logs
查看出事的时间范围的日志,access日志里面找到一个IP在爆破192.168.126.135
WEB日志里面可能没有了,看下Event事件日志,看下安全日志
看了好几条,发现一个远程的IP 192.168.126.129
题目二、
2.攻击者的webshell文件名?
扫一扫
得,一上D盾直接发现了克隆账户,第八题欧了
名字有了system.php,密码也有了
题目三、
3.攻击者的webshell密码?
hack6618
题目四、
4.攻击者的伪QQ号?
伪造的QQ号,QQ那肯定是在腾讯下面
发现有俩,时间都对得上,但应该不是0,QQ号嘛,应该是下面的777888999321
题目五、
5.攻击者的伪服务器IP地址?
看端口找到一个IP,试了下说不对
电脑重启了,现在网络连接状态已经没了,头疼,那还是只能看事发时的文件了,看事发时间2月29日下午的文件,看了半天发现一个frp
跟查看最近使用的项目结果类似,那基本确定就是用的frp了
查看frp的配置文件,得到IP:256.256.66.88,试试,这次是对的
题目六、
6.攻击者的服务器端口?
65536
题目七、
7.攻击者是如何入侵的(选择题)?
请回答攻击者是如何入侵的?
1.web攻击
2.数据库攻击
3.ftp攻击
4.rdp攻击
我再去确认下web日志,这不对,不是web口进的,肯定有其他途径,不然不可能不上传直接连接webshell
数据库也不对,web日志里没有相关内容
像是rdp,时间不对呀,13:39才登录,13:02 webshell以及在了,这不可能先有的儿子再有的爹啊
试试rdp发现不对,那就是ftp了。
嘿,那我的好好看看了
好家伙,一下就破案了,admin666888,经典弱口令
题目八、
8.攻击者的隐藏用户名?
hack887$
总结
192.168.126.135
192.168.126.129
system.php
hack6618 #这里不对啊,提示的不是让输入webshell密码,而是让输入QQ号
777888999321
256.256.66.88
65536
3
hack887$
原文始发于微信公众号(SecHub网络安全社区):应急响应靶机-Web2-writeup
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论