1、启动phpstudy打开网站看到攻击者ID X12345678X
2、打开phpstudy目录 看到主页文件最后修改时间 2023年11月6日,4:55:13
3-5、这里应该用划水应急工具里面webshell查杀去杀的 但是我在翻找文件的时候翻到了 看到这两个文件的修改时间和别的文件有些大 并且符合黑客攻击网站的时间,找到两个webshell
根据时间来看第二个shell文件是syscon.php 连接密码就是cmd
6、右键windows 打开计算机管理 进入用户 发现admin$(带$一般就是隐藏用户)
7、按Win+R键输入eventvwr.msc
打开事件查看器
4624 登录成功
4625 登录失败,如果有人尝试破解系统密码,可以看到大量连续登录失败信息
4726 删除用户
4722 账号启用
4725 账号禁用
4723 修改密码
4724 重置密码
4634 注销成功
4647 用户启动的注销
4672 管理员登录
4720 创建用户,使用系统漏洞攻击成功后,往往会创建一个用户,方便远程登录
4732 加入安全组,常见于将新用户加入管理员组
4733 移除出安全组
4684 通过登陆界面登陆的
搜索ID4720为创建用户 时间就是:2023/11/6 4:45:34
8、搜索ID 4732 加入管理组 时间为:2023/11/6 4:46:07
9、接着往下翻 将时间固定在4:30-5:00之间 接着往下翻可以看到找到黑客对密钥文件的操作
2023/11/6 4:46:58
10、PTH 了解哈希传递攻击 一般要通过NTML认证 往下翻找 找到NTMLssp身份验证
2023/11/6 4:47:28
11、需要通过划水应急工具包\蓝队综合工具\D-Eyes_1.1.0.zip来解决
打开D-Eyes_直接扫描
发现没有扫描出什么东西 看了wp 去Windows Defender隔离区里面找了一下
好 找到了 SystemTemp.exe和SysnomT.exe