背景介绍
小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。
挑战内容
1.攻击者的IP地址(两个)
2.攻击者的webshell文件名
3.攻击者的webshell密码
4.攻击者的伪QQ号
5.攻击者的伪服务器IP地址
6.攻击者的服务器端口
7.攻击者是如何入侵的(选择题)
8.攻击者的隐藏用户名
解题过程
打开靶机,进入网站根目录,扫描发现webshell文件
1.攻击者的IP地址(两个)
2.攻击者的webshell文件名
3.攻击者的webshell密码
4.攻击者的伪QQ号
5.攻击者的伪服务器IP地址
6.攻击者的服务器端口
7.攻击者是如何入侵的(选择题)
8.攻击者的隐藏用户名
查看日志文件,Apache和FTP有日志,但只发现了一个攻击IP
能看到是使用FTP上传Webshell文件,前面还有大量的爆破痕迹,通过FTP进行入侵的
实锤了是弱密码
决定看看系统日志,最终在远程登录日志中,发现了另一个攻击IP
1.攻击者的IP地址(两个)
2.攻击者的webshell文件名
3.攻击者的webshell密码
4.攻击者的伪QQ号
5.攻击者的伪服务器IP地址
6.攻击者的服务器端口
7.攻击者是如何入侵的(选择题)
8.攻击者的隐藏用户名
WIN+R打开运行,输入recent,可以看最近打开过哪些文件
这里面的文件可以着重排查一下
Tencent File可以和QQ联系起来,找到了伪QQ号
在里面发现了frp的安装包
在配置文件中发现,伪服务器的IP和端口
WIN+R打开运行,lusrmgr.msc可以发现隐藏用户hack887$
1.攻击者的IP地址(两个)
2.攻击者的webshell文件名
3.攻击者的webshell密码
4.攻击者的伪QQ号
5.攻击者的伪服务器IP地址
6.攻击者的服务器端口
7.攻击者是如何入侵的(选择题)
8.攻击者的隐藏用户名
攻击视角
通过扫描发现21端口开放
尝试使用弱口令登录
上传webshell,而后发现单向不出网或者白名单出网,上传内网穿透软件,克隆管理员隐藏账户,而后被发现。