应急响应靶机-Web2-writeup

admin 2024年3月9日22:28:15评论13 views字数 1742阅读5分48秒阅读模式

点击蓝字 关注我们

应急响应靶机-Web2-writeup

免责声明

本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。

如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。

添加星标不迷路

由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦应急响应靶机-Web2-writeup

应急响应靶机-Web2-writeup

下载靶机

从夸克网盘下载靶机

夸克网盘分享了「应急响应靶机练习-Web2」,点击链接即可保存。

链接:https://pan.quark.cn/s/3ca80a85d48b#/list/share

挑战内容

前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。

这是他的服务器系统,请你找出以下内容,并作为通关条件:

1.攻击者的IP地址(两个)?

2.攻击者的webshell文件名?

3.攻击者的webshell密码?

4.攻击者的伪QQ号?

5.攻击者的伪服务器IP地址?

6.攻击者的服务器端口?

7.攻击者是如何入侵的(选择题)?

8.攻击者的隐藏用户名?

相关账户密码

用户:administrator

密码:[email protected]

打开环境

解压后用Vmware打开靶机环境

应急响应靶机-Web2-writeup

点击打开–》点击【获取所有权】,打开虚拟机–》点击【我已复制该虚拟机】

OK,环境开启,输入密码:[email protected]

题目

点击桌面上的解题.exe开始解题

题目一、

1.攻击者的IP地址(两个)?

IP的话肯定是要看日志的,打开phpstudy,打开根目录,然后找到Apache日志

应急响应靶机-Web2-writeup

C:phpstudy_proExtensionsApache2.4.39logs

应急响应靶机-Web2-writeup

查看出事的时间范围的日志,access日志里面找到一个IP在爆破192.168.126.135

应急响应靶机-Web2-writeup

WEB日志里面可能没有了,看下Event事件日志,看下安全日志

应急响应靶机-Web2-writeup

看了好几条,发现一个远程的IP 192.168.126.129

应急响应靶机-Web2-writeup

题目二、

2.攻击者的webshell文件名?

扫一扫

得,一上D盾直接发现了克隆账户,第八题欧了

应急响应靶机-Web2-writeup

应急响应靶机-Web2-writeup

名字有了system.php,密码也有了

题目三、

3.攻击者的webshell密码?

hack6618

题目四、

4.攻击者的伪QQ号?

伪造的QQ号,QQ那肯定是在腾讯下面

应急响应靶机-Web2-writeup

应急响应靶机-Web2-writeup

发现有俩,时间都对得上,但应该不是0,QQ号嘛,应该是下面的777888999321

题目五、

5.攻击者的伪服务器IP地址?

看端口找到一个IP,试了下说不对

应急响应靶机-Web2-writeup

电脑重启了,现在网络连接状态已经没了,头疼,那还是只能看事发时的文件了,看事发时间2月29日下午的文件,看了半天发现一个frp

应急响应靶机-Web2-writeup

跟查看最近使用的项目结果类似,那基本确定就是用的frp了

应急响应靶机-Web2-writeup

查看frp的配置文件,得到IP:256.256.66.88,试试,这次是对的

应急响应靶机-Web2-writeup

题目六、

6.攻击者的服务器端口?

65536

题目七、

7.攻击者是如何入侵的(选择题)?

请回答攻击者是如何入侵的?
1.web攻击
2.数据库攻击
3.ftp攻击
4.rdp攻击

我再去确认下web日志,这不对,不是web口进的,肯定有其他途径,不然不可能不上传直接连接webshell

应急响应靶机-Web2-writeup

数据库也不对,web日志里没有相关内容

像是rdp,时间不对呀,13:39才登录,13:02 webshell以及在了,这不可能先有的儿子再有的爹啊

试试rdp发现不对,那就是ftp了。

嘿,那我的好好看看了

好家伙,一下就破案了,admin666888,经典弱口令

应急响应靶机-Web2-writeup

题目八、

8.攻击者的隐藏用户名?

hack887$

总结

192.168.126.135
192.168.126.129
system.php
hack6618 #这里不对啊,提示的不是让输入webshell密码,而是让输入QQ号
777888999321
256.256.66.88
65536
3
hack887$

应急响应靶机-Web2-writeup

原文始发于微信公众号(SecHub网络安全社区):应急响应靶机-Web2-writeup

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月9日22:28:15
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急响应靶机-Web2-writeuphttps://cn-sec.com/archives/2558588.html

发表评论

匿名网友 填写信息