下载好靶场(前来挑战!应急响应靶机训练-Web2)并搭建好环境,使用帐号密码(administrator / [email protected])登录靶机。
一、攻击者的IP地址(两个)?
进入phpStudy查看中间件日志,发现Nginx没有日志,Apache有日志。
将Apache的accesslog拷贝到Kali分析,使用命令cat access.log.1709164800 | grep -v "404|js|css"发现仅192.168.126.135存在访问记录。
访问的/system.php不像是正常网站会提供的地址,打开后发现是webshell。因此192.168.126.135是攻击者的IP地址。
使用命令compmgmt.msc打开计算机管理,在系统工具->事件查看器->Windows日志->安全中,点击筛选当前日志,筛选事件ID是4624的登录成功日志,发现192.168.126.129曾经登录过。
点击筛选当前日志,筛选事件ID是4625的登录失败日志,未发现日志,无法证明192.168.126.129有过爆破行为,无法证明是攻击者的IP地址。
翻看攻击者访问webshell的时间,刚好在192.168.126.129登录前后,疑似攻击者通过webshell创建操作系统帐号后,再进行登录。
筛选当前日志,筛选事件ID是4720的创建帐号日志,发现时间对得上,因此192.168.126.129是攻击者的IP地址。
二、攻击者的webshell文件名?
问题一时已发现webshell是system.php。
三、攻击者的伪QQ号?
打开文件资源管理器,在“快速访问”处发现“frp_0.54.0_windows_amd64”文件夹。
点进去后意外发现路径在QQ下面,原来FRP文件是通过QQ接收的,因此获得QQ号码:777888999321。
四、攻击者的伪服务器IP地址?
打开frp的配置文件“frpc.ini”获得攻击者服务器的IP地址:256.256.66.88。
五、攻击者的服务器端口?
打开frp的配置文件“frpc.ini”获得攻击者服务器的端口:65536。
六、攻击者是如何入侵的(选择题)?
1、不是web攻击。
从问题一拿到的web访问日志可以看出,攻击者并没有爆破管理后台的弱口令,而是直接登录了。登录后也没有任何POST 请求去上传webshell,而是直接访问webshell了。因此web不是攻击入口。
2、不是数据库攻击。
打开phpStudy启动Apache和MySQL,并查看数据库密码。
本机登录数据库后使用命令show variables like '%general%';查看是否开启日志记录、以及日志文件存储位置。发现并未开启日志记录,日志文件也不存在,因此无法判断数据库是否遭受攻击。
远程尝试登录数据库,发现登录失败,提示仅允许本地登录。因此判断攻击者无法远程攻击数据库。
3、是ftp攻击。
查看FTP日志,发现192.168.126.135存在大量登录失败记录,疑似爆破FTP弱口令。
最终登录成功,疑似成功爆破出FTP的弱口令。
上传了webshell文件system.php,由此判断FTP是攻击入口。攻击者先通过FTP弱口令漏洞获得FTP权限,然后上传webshell到网站路径下,再通过webshell创建RDP帐号,最终通过RDP登录操作系统。
4、不是rdp攻击。
在问题一时,筛选事件ID是4625的登录失败日志,未发现日志,说明不存在rdp爆破行为(或者攻击者删除了4625日志),攻击者不是通过攻击rdp拿下入口。
七、攻击者的隐藏用户名?
使用命令compmgmt.msc打开计算机管理,在系统工具->本地用户和组->用户下发现$结尾的隐藏用户hack887$。
原文始发于微信公众号(OneMoreThink):应急靶场(3):Windows Server 2022 - Web2
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论