问题如下:
首先进入环境后,打开命令标识符
使用netstat -nao命令查询目前所有开启的端口服务
后续通过了解靶机环境我们排除掉了本机所运行的服务后锁定了攻击端口
{21,3389,8080}
初步怀疑PID636可疑
tasklist后查看进程状态
锁定文件lsass.exe
通过命令我们发现了攻击者的IP为192.168.18.133
awk "$9!=404 {print $6,$7,$9}"cat -n access.log
通过再一次检索,(这次主要是检索恶意文件落地位置),我们可以锁定恶意文件名为:newfile1.php(因为攻击者通过这个文件对phpinfo()进行了访问)
通过桌面上的工具我们最后对所有的文件安全日志进行审计(注意,由于初设原因,我们需要进入高级选项内进行设置才能审计到所有事件,如下图所示)
从此处发现了黑客开始弱口令爆破时的IP
从此处结合上下日志确认了攻击者掌管服务器时的IP
后续还剩一题(最终攻击成功的端口)实则不难,我们通过对这靶机的了解不难看出,攻击者发现了目标后,通过对网站弱口令的爆破后放置恶意文件,最终拿下了整个服务器的权限,所以我们可以结合情况得知,真正攻击成功的端口是3389
至此,靶机完全攻克
写的比较随意,还望诸位海涵
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
