前言
接上文,应急响应靶机训练-Web2。
此文为应急响应靶机训练-Web2【题解】篇
视频号讲解
解题过程
开启此虚拟机
启动靶机内所有服务
再PHP study下方有日志文件,找到apache的日志文件
开始分析
攻击者使用工具进行目录扫描
但未找到webshell上传特征
在C:phpstudy_proExtensionsFTP0.9.60Logs目录找到相关特征
找到ftp上传system.php,经查证,为webshell文件,记录IP地址:192.168.126.135
webshell密码为hack6618
寻找隐藏用户
使用蓝队工具箱中,Windows日志一键分析
发现存在hack887$
记录IP地址:192.168.126.129
删除用户失败
控制面板寻找账户并未发现
猜测该用户为克隆administrator隐藏用户,注册表寻找该用户
找到隐藏账户hack887$
删除该项以及3E8
寻找黑客遗留下来的信息
在文档内发现Tencent Files文件夹,猜测使用过通讯工具
找到黑客伪QQ号
777888999321
FileRecv文件夹内为接收的文件
发现frp(内网穿透工具)
在frpc.ini的配置文件中找到伪IP以及伪端口
最后统一信息:
IP1:192.168.126.135
IP2:192.168.126.129
伪QQID:777888999321
伪服务器地址:256.256.66.88
伪端口:65536
隐藏用户名:hack887$
webshell密码:hack6618
webshell名称:system.php
打开解题.exe
解题成功!
文末
后台回复“交流群”获取技术交流群链接
原文始发于微信公众号(知攻善防实验室):应急响应靶机训练-Web2【题解】
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论