靶机地址
响应背景
(1)攻击者的IP地址
(2)webshell的文件名和密码
(3)攻击者的QQ号
(4)攻击者的服务器伪IP地址和服务器端口
(5)攻击者隐藏的用户名
(6)攻击者的入侵方式
响应流程总结
(1)工具查杀webshell——文件名和密码
(2)日志分析——攻击者IP地址,攻击者入侵方式
(3)系统用户排查——隐藏用户名
(4)用户操作排查——攻击者遗留QQ号,攻击者的服务器地址和端口
响应流程
启动靶机,靶机密码为:Zgsf@qq.com(运行解题exe,拿到响应背景)
一、后门查杀
(1)D盾进行webshell查杀
(2)笔记本打开webshell,拿到密码
二、日志分析
(1)Apache日志
(webshell文件名,找到攻击者IP)
(没有发现文件上传操作,说明webshell不是通过Apache上传的)
(2)Nginx日志为空
(3)FTP日志
(大量登录失败,攻击者在进行弱口令破解)
(webshell文件名,发现webshell是通过FTP上传的)
(4)日志分析工具
三、系统用户排查
方法一
C盘用户组
方法二
控制面板(用户隐藏,攻击者克隆了管理员用户)
方法三
注册表
方法四
D盾排查
四、系统操作排查
1.文件分析工具everything
工具链接:https://www.voidtools.com/zh-cn/downloads/
(1)查看webshell上传时间
(2)排查webshell上传后的系统操作
(3)发现腾讯文件夹和frp压缩包
(4)查看Tencent文件夹,找到遗留QQ号
(5)查看frp文件夹(frp是内网穿透工具,其配置文件中存放服务器IP和端口)
(6)记事本打开配置文件,找到攻击者的服务器IP和端口
2.文件分析工具LastActivityView
工具链接 LastActivityView - View the latest computer activity in Windows operating system
(1)webshell上传后的系统操作记录
(2)查看系统修改文件的路径(后续操作同上)
扫一扫
322
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
