点击蓝字 关注我们

添加星标不迷路

由于公众号推送规则改变，微信头条公众号信息会被折叠，为了避免错过公众号推送，请大家动动手指设置“星标”，设置之后就可以和从前一样收到推送啦

下载靶机

从夸克网盘下载靶机

夸克网盘分享了「应急响应靶机练习-Web2」，点击链接即可保存。

链接：https://pan.quark.cn/s/3ca80a85d48b#/list/share

挑战内容

前景需要：小李在某单位驻场值守，深夜12点，甲方已经回家了，小李刚偷偷摸鱼后，发现安全设备有告警，于是立刻停掉了机器开始排查。

这是他的服务器系统，请你找出以下内容，并作为通关条件：

1.攻击者的IP地址（两个）？

2.攻击者的webshell文件名？

3.攻击者的webshell密码？

4.攻击者的伪QQ号？

5.攻击者的伪服务器IP地址？

6.攻击者的服务器端口？

7.攻击者是如何入侵的（选择题）？

8.攻击者的隐藏用户名？

相关账户密码

用户:administrator

密码:[email protected]

打开环境

解压后用Vmware打开靶机环境

点击打开–》点击【获取所有权】，打开虚拟机–》点击【我已复制该虚拟机】

OK，环境开启，输入密码：[email protected]

题目

点击桌面上的解题.exe开始解题

题目一、

1.攻击者的IP地址（两个）？

IP的话肯定是要看日志的，打开phpstudy，打开根目录，然后找到Apache日志

C:phpstudy_proExtensionsApache2.4.39logs

查看出事的时间范围的日志，access日志里面找到一个IP在爆破192.168.126.135

WEB日志里面可能没有了，看下Event事件日志，看下安全日志

看了好几条，发现一个远程的IP 192.168.126.129

题目二、

2.攻击者的webshell文件名？

扫一扫

得，一上D盾直接发现了克隆账户，第八题欧了

名字有了system.php，密码也有了

题目三、

3.攻击者的webshell密码？

hack6618

题目四、

4.攻击者的伪QQ号？

伪造的QQ号，QQ那肯定是在腾讯下面

发现有俩，时间都对得上，但应该不是0，QQ号嘛，应该是下面的777888999321

题目五、

5.攻击者的伪服务器IP地址？

看端口找到一个IP，试了下说不对

电脑重启了，现在网络连接状态已经没了，头疼，那还是只能看事发时的文件了，看事发时间2月29日下午的文件，看了半天发现一个frp

跟查看最近使用的项目结果类似，那基本确定就是用的frp了

查看frp的配置文件，得到IP：256.256.66.88，试试，这次是对的

题目六、

6.攻击者的服务器端口？

65536

题目七、

7.攻击者是如何入侵的（选择题）？

请回答攻击者是如何入侵的?
     1.web攻击
     2.数据库攻击
     3.ftp攻击
     4.rdp攻击

我再去确认下web日志，这不对，不是web口进的，肯定有其他途径，不然不可能不上传直接连接webshell

数据库也不对，web日志里没有相关内容

像是rdp，时间不对呀，13:39才登录，13:02 webshell以及在了，这不可能先有的儿子再有的爹啊

试试rdp发现不对，那就是ftp了。

嘿，那我的好好看看了

好家伙，一下就破案了，admin666888，经典弱口令

题目八、

8.攻击者的隐藏用户名？

hack887$

总结

192.168.126.135
192.168.126.129
system.php
hack6618 #这里不对啊，提示的不是让输入webshell密码，而是让输入QQ号
777888999321
256.256.66.88
65536
3
hack887$