挑战内容
小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,
于是立刻停掉了机器开始排查。
这是他的服务器系统,请你找出以下内容,并作为通关条件:
用户:administrator
密码:Zgsf@qq.com
1.攻击者的IP地址(两个)?
2.攻击者的webshell文件名?
3.攻击者的webshell密码?
4.攻击者的伪QQ号?
5.攻击者的伪服务器IP地址?
6.攻击者的服务器端口?
7.攻击者是如何入侵的(选择题)?
8.攻击者的隐藏用户名?
Webshell
D盾扫描根目录发现后门文件
查看apache日志,攻击者(192.168.126.135)进行了目录扫描,登录wp-admin后台,上传了后门
打开后门文件,看到连接密码为hack6618
隐藏账户
使用Log Parser分析工具 查看远程登录成功日志
发现账户hack887$ IP地址为192.168.126.129
命令行删除用户失败
控制面板无此用户
猜测该用户为克隆administrator隐藏用户,注册表查看该用户,直接删除
伪QQ号
在文档里发现Tencent Files,可能使用通讯工具,伪QQ号为777888999321
攻击者伪服务器IP,端口
在FileRecv文件夹下发现frp工具
查看配置文件frpc.ini,找到伪服务器IP:256.256.66.88,端口:65536
总结
攻击者IP地址:192.168.126.135 192.168.126.129
伪QQ号:777888999321
伪服务器IP地址、端口:256.256.66.88:65536
隐藏用户名:hack887$
webshell:system.php 连接密码:hack6618
9860
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
