1、启动phpstudy打开网站看到攻击者ID X12345678X
2、打开phpstudy目录 看到主页文件最后修改时间 2023年11月6日,4:55:13
3-5、这里应该用划水应急工具里面webshell查杀去杀的 但是我在翻找文件的时候翻到了 看到这两个文件的修改时间和别的文件有些大 并且符合黑客攻击网站的时间,找到两个webshell
根据时间来看第二个shell文件是syscon.php 连接密码就是cmd
6、右键windows 打开计算机管理 进入用户 发现admin$(带$一般就是隐藏用户)
7、按Win+R键输入eventvwr.msc打开事件查看器
4624 登录成功
4625 登录失败,如果有人尝试破解系统密码,可以看到大量连续登录失败信息
4726 删除用户
4722 账号启用
4725 账号禁用
4723 修改密码
4724 重置密码
4634 注销成功
4647 用户启动的注销
4672 管理员登录
4720 创建用户,使用系统漏洞攻击成功后,往往会创建一个用户,方便远程登录
4732 加入安全组,常见于将新用户加入管理员组
4733 移除出安全组
4684 通过登陆界面登陆的搜索ID4720为创建用户 时间就是:2023/11/6 4:45:34
8、搜索ID 4732 加入管理组 时间为:2023/11/6 4:46:07
9、接着往下翻 将时间固定在4:30-5:00之间 接着往下翻可以看到找到黑客对密钥文件的操作
2023/11/6 4:46:58
10、PTH 了解哈希传递攻击 一般要通过NTML认证 往下翻找 找到NTMLssp身份验证
2023/11/6 4:47:28
11、需要通过划水应急工具包\蓝队综合工具\D-Eyes_1.1.0.zip来解决
打开D-Eyes_直接扫描
发现没有扫描出什么东西 看了wp 去Windows Defender隔离区里面找了一下
好 找到了 SystemTemp.exe和SysnomT.exe
843
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
