应急响应靶机训练-Web2【题解】

admin 2024年3月2日19:10:02评论36 views字数 720阅读2分24秒阅读模式

前言

接上文,应急响应靶机训练-Web2。

此文为应急响应靶机训练-Web2【题解】篇

视频号讲解

解题过程

开启此虚拟机

应急响应靶机训练-Web2【题解】

启动靶机内所有服务

应急响应靶机训练-Web2【题解】

再PHP study下方有日志文件,找到apache的日志文件

应急响应靶机训练-Web2【题解】

开始分析

攻击者使用工具进行目录扫描

应急响应靶机训练-Web2【题解】

但未找到webshell上传特征

在C:phpstudy_proExtensionsFTP0.9.60Logs目录找到相关特征

应急响应靶机训练-Web2【题解】

找到ftp上传system.php,经查证,为webshell文件,记录IP地址:192.168.126.135

应急响应靶机训练-Web2【题解】

webshell密码为hack6618

寻找隐藏用户

使用蓝队工具箱中,Windows日志一键分析

应急响应靶机训练-Web2【题解】

发现存在hack887$

应急响应靶机训练-Web2【题解】

记录IP地址:192.168.126.129

删除用户失败

应急响应靶机训练-Web2【题解】

控制面板寻找账户并未发现

应急响应靶机训练-Web2【题解】

猜测该用户为克隆administrator隐藏用户,注册表寻找该用户

找到隐藏账户hack887$

应急响应靶机训练-Web2【题解】

删除该项以及3E8

寻找黑客遗留下来的信息

在文档内发现Tencent Files文件夹,猜测使用过通讯工具

找到黑客伪QQ号

应急响应靶机训练-Web2【题解】

777888999321

FileRecv文件夹内为接收的文件

应急响应靶机训练-Web2【题解】

发现frp(内网穿透工具

在frpc.ini的配置文件中找到伪IP以及伪端口

应急响应靶机训练-Web2【题解】

最后统一信息:

IP1:192.168.126.135

IP2:192.168.126.129

伪QQID:777888999321

伪服务器地址:256.256.66.88

伪端口:65536

隐藏用户名:hack887$

webshell密码:hack6618

webshell名称:system.php

打开解题.exe

解题成功!

应急响应靶机训练-Web2【题解】

文末

后台回复“交流群”获取技术交流群链接

应急响应靶机训练-Web2【题解】

原文始发于微信公众号(知攻善防实验室):应急响应靶机训练-Web2【题解】

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月2日19:10:02
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急响应靶机训练-Web2【题解】https://cn-sec.com/archives/2541399.html

发表评论

匿名网友 填写信息