前言
接上文,应急响应靶机训练-Web2。
此文为应急响应靶机训练-Web2【题解】篇
视频号讲解
我什么都不会啊
解题过程
开启此虚拟机
启动靶机内所有服务
再PHP study下方有日志文件,找到apache的日志文件
开始分析
攻击者使用工具进行目录扫描
但未找到webshell上传特征
在C:\phpstudy_pro\Extensions\FTP0.9.60\Logs目录找到相关特征
找到ftp上传system.php,经查证,为webshell文件,记录IP地址:192.168.126.135
webshell密码为hack6618
寻找隐藏用户
使用蓝队工具箱中,Windows日志一键分析
发现存在hack887$
记录IP地址:192.168.126.129
删除用户失败
控制面板寻找账户并未发现
猜测该用户为克隆administrator隐藏用户,注册表寻找该用户
找到隐藏账户hack887$
删除该项以及3E8
寻找黑客遗留下来的信息
在文档内发现Tencent Files文件夹,猜测使用过通讯工具
找到黑客伪QQ号
777888999321
FileRecv文件夹内为接收的文件
发现frp(内网穿透工具)
在frpc.ini的配置文件中找到伪IP以及伪端口
最后统一信息:
IP1:192.168.126.135
IP2:192.168.126.129
伪QQID:777888999321
伪服务器地址:256.256.66.88
伪端口:65536
隐藏用户名:hack887$
webshell密码:hack6618
webshell名称:system.php
打开解题.exe
解题成功!
文末
关注公众号“知攻善防实验室”,回复“交流群”获取技术交流群链接