【实景挑战 | 应急】应急靶机01: Where-1S-tHe-Hacker

1、启动phpstudy打开网站看到攻击者ID X12345678X

2、打开phpstudy目录 看到主页文件最后修改时间 ‎2023‎年‎11‎月‎6‎日,‏‎4:55:13

3-5、这里应该用划水应急工具里面webshell查杀去杀的 但是我在翻找文件的时候翻到了 看到这两个文件的修改时间和别的文件有些大 并且符合黑客攻击网站的时间,找到两个webshell

根据时间来看第二个shell文件是syscon.php 连接密码就是cmd

6、右键windows 打开计算机管理 进入用户  发现admin$(带$一般就是隐藏用户)

7、按Win+R键输入eventvwr.msc打开事件查看器

4624 登录成功
4625 登录失败,如果有人尝试破解系统密码,可以看到大量连续登录失败信息
4726 删除用户
4722 账号启用
4725 账号禁用
4723 修改密码
4724 重置密码
4634 注销成功
4647 用户启动的注销
4672 管理员登录
4720 创建用户,使用系统漏洞攻击成功后,往往会创建一个用户,方便远程登录
4732 加入安全组,常见于将新用户加入管理员组
4733 移除出安全组
4684 通过登陆界面登陆的

搜索ID4720为创建用户 时间就是:2023/11/6 4:45:34

8、搜索ID 4732 加入管理组 时间为:2023/11/6 4:46:07

9、接着往下翻 将时间固定在4:30-5:00之间 接着往下翻可以看到找到黑客对密钥文件的操作

2023/11/6 4:46:58

10、PTH 了解哈希传递攻击 一般要通过NTML认证 往下翻找 找到NTMLssp身份验证

2023/11/6 4:47:28

11、需要通过划水应急工具包\蓝队综合工具\D-Eyes_1.1.0.zip来解决

打开D-Eyes_直接扫描

发现没有扫描出什么东西 看了wp 去Windows Defender隔离区里面找了一下

好 找到了  SystemTemp.exe和SysnomT.exe

  • 1
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值