应急响应web2

已于 2024-04-10 16:57:48 修改
阅读量132 收藏 1
点赞数 4
文章标签: 网络 安全 服务器
于 2024-03-19 21:06:59 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_75005708/article/details/136821378
版权
文章讲述了小李在驻场值守时遇到的黑客攻击,涉及追踪攻击者IP地址(192.168.126.135,192.168.126.129)、webshell文件(system.php)及其密码、伪QQ号、服务器端口、隐藏账户等信息,以及攻击方式为FTP攻击。
摘要由CSDN通过智能技术生成

挑战内容

前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现全设备有告警,于是立刻停掉了机器开始排查。

这是他的服务器系统,请你找出以下内容,并作为通关条件:

1.攻击者的IP地址(两个)?

2.攻击者的webshell文件名?

3.攻击者的webshell密码?

4.攻击者的伪QQ号?

5.攻击者的伪服务器IP地址?

6.攻击者的服务器端口?

7.攻击者是如何入侵的(选择题)?

8.攻击者的隐藏用户名?

 

结合这两个文件就可以发现其中的一个攻击者的ip是192.168.126.135

system.php,经查证,为webshell文件,在文件管理中找到

 webshell密码为hack6618

windows管理工具中找到事件查看器

搜索1149即可

查找隐藏的用户的时候,在设置里面是看不到了

这个时候我们需要去注册表里面看看

隐藏的用户就找到了   隐藏账户hack887$

在文档内发现Tencent Files文件夹,里面有使用工具,QQ号应该就是它了

777888999321

FileRecv文件夹内为接收的文件,frp(内网穿透工具)

伪IP以及伪端口

IP1:192.168.126.135

IP2:192.168.126.129

伪QQID:777888999321

伪服务器地址:256.256.66.88

伪端口:65536

隐藏用户名:hack887$

webshell密码:hack6618

webshell名称:system.php

攻击方式:ftp攻击

芝诺的乌龟M
关注
  • 4
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Web安全事件应急响应分析.pdf
07-14
来源自绿盟科技 2019年11月的Web安全事件应急响应分析总结,owasp里的问题基本都有涉及,比较全面,适合初学者
应急响应实战笔记.rar
02-14
应急响应实战笔记,包含入侵排查篇:Windows 入侵排查、Linux 入侵排查、常见的 Webshell 查杀工具、如何发现隐藏的 Webshell 后门、勒索病毒自救指南;日志分析篇:Windows日志分析、Linux日志分析、Web日志分析、...
知攻善防靶机应急响应web2
来而不往非礼也
05-09 524
在本次靶机中通过查看web日志和ftp日志找到了一个恶意ip对目标主机进行扫描,通过d盾对网站根目录进行扫描发现后门shell,根据shell文件的文件名同步反查文件名,找到了失陷时间,观察到了用户连接ip。利用系统注册表可以查到隐藏的用户名后这个就可以利用windouws系统日志按照敏感事件id去反查。
应急响应靶场web2】
一纸荒芜的博客
03-15 1432
靶场来源:知攻善防实验室
应急响应-Web2
qq_45427131的博客
03-20 697
通过phpstudy查看日志,发现192.168.126.135这个IP一直在404访问 , 并且在日志的最后几条一直在访问system.php ,从这可以推断 该IP可能在扫描网站目录,至于system.php的内容需要进去看代码分析查看system.php发现是木马文件,因此确定攻击者的第一个IP另外一个IP可以通过日志查看器 ——> 远程桌面登录成功日志 查看登录IP。
应急响应-webserver
lin__ying的博客
04-29 550
用远程连接工具连接Linux 服务日志默认存储在/var/log目录下默认网站根目录:/var/www/html/有80端口开放访问192.168.141.129:80是一个网页服务日志默认存储在/var/log目录下将access.log导出到主机并用visual打开注:这里的开的日志文件是原本/var/log/apache2/access.log.1常见的资产收集平台:fofa,shodanCtrl+F搜索fofa或者shodan发现资产收集的平台
应急响应web3靶场实战
helloKittywz的博客
06-01 618
然后都要不行,后面我想到了这个不是我自己的服务器吗,我想干什么就干什么,然后就重置了管理员的密码,也就是进入到网站后台,查看到了hack这个隐藏用户留下的第3个flag。我做到这点过后,怎么都找不到最后一个flag,然后我就看创建的用户的那些文件,和桌面都没有找到有用的线索,,在开机自启动项目这点来下功夫,所有我们在查看计划任务的时候发现了第2个flag以及第2个ip地址。看见2个可疑的东西,查看里面的内容,发现了是我们想要的flag。在我登录失败的时候出现了这个,管理员忘记密码怎么办?
Windows应急响应靶机 - Web3
qq_48904485的博客
06-27 735
小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。本虚拟机的考点不在隐藏用户以及ip地址,仔细找找把。
Web应急响应
weixin_68408599的博客
03-27 1316
2024年护网将至,最近我将分享一些红蓝对抗的一些技巧,应急响应、信息收集相关的知识概念以及相关技巧。
知攻善防应急响应靶机训练-Web2
tmyzxy1314的博客
05-23 482
本次应急响应靶机采用的是知攻善防实验室的Web-2应急响应靶机 靶机下载地址为: https://pan.quark.cn/s/4b6dffd0c51a 相关账户密码 用户:administrator 密码:Zgsf@qq.com。ftp服务日志有很多内容记录,可以观察到有许多登陆失败的日志,很明显是在做口令暴力破解,攻击者IP也是一样的。二、攻击者的webshell文件名?三、攻击者的webshell密码?七、攻击者是如何入侵的(选择题)?一、攻击者的IP地址(两个)?五、攻击者的伪服务器IP地址?
应急响应靶机训练-Web2
2201_75316477的博客
03-18 629
前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。到这里还差一个攻击者的另一个ip,我是没找到,看了一下解题思路,另一个IP是使用蓝队工具箱的日志分析工具找到的。打开QQ号文件下的FileRecv文件夹,看到了黑客上传的frp工具,查看配置文件frpc.ini文件。查看apache日志文件可以发现攻击者的一个ip为192.168.126.135,在启动靶机时,如果你的vm版本为16,请将虚拟机的vmx文件改一下。
Windows应急响应靶机 - Web1
qq_48904485的博客
06-20 546
应急响应靶机训练-Web1前景需要:小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名用户:密码。
某大厂应急响应事件标准处理流程
01-30
本文档旨在介绍某大厂应急响应事件标准处理流程,涵盖了 WEB安全事件和系统恶意程序事件的处理过程。下面将详细介绍每个阶段的处理流程和相关知识点。 事件确认阶段: 在事件确认阶段,负责人对接客户,了解...
应急响应实战笔记_2020最新版.pdf
06-24
整体目录结构共六章,分为技巧篇和实战篇。第1~3章为技巧篇,分别对应入侵排查、日志分析和权限维持,第4~6章为实战篇,包含了Windows/Linux各种病毒木马,web入侵事件溯源处理过程。
应急响应工具集及应急响应实战笔记.zip
08-04
网络安全应急响应工具集及应急响应实战笔记 辅助工具集 进程分析工具集 练手样本集 流量分析工具集 启动项分析工具集 信息收集工具集 专杀工具集 Webshell查杀集 第01章:入侵排查篇 第02章:日志分析篇 第03章:...
SpringBoot整合SSE,实现后端主动推送DEMO
最新发布
zjy660358的专栏
07-17 235
说起服务端主动推送,大家第一个想到的一定是WEBSOCKET。作为软件工程师,不能无脑使用一种技术,要结合实际情况,择优选取。SSE(Server-Sent Events)相比于WEBSOCKET1、轻量化、兼容性 基于传统的HTTP协议,所以浏览器兼容性比较好2、 只支持单向通讯。(服务器->客户端)
27_MobileNetV3网络详解
https://github.com/foxpup11?tab=repositories
07-17 402
https://www.bilibili.com/video/BV1GK4y1p7uE/?spm_id_from=333.999.0.0&vd_source=7dace3632125a1ef7fd32c285eb2fbac
RTI DDS大数据碎片
qq_33089547的博客
07-17 677
PublicationBuiltingTopicData或SubscriptionBuiltnTopicData样本较大的最常见原因是序列化的TypeCode或TypeObject,但您也可能发送了大量属性(通过7.5.19 PROPERTY QosPolicy(DDS扩展))或具有较大的ContentFilteredTopic筛选器表达式,以及其他大小可变的字段,这可能会导致样本大小较大。如果您尝试发送一个大小大于MTU的DDS样本,但尚未设置DDS级碎片,您将看到IP级碎片。
Internet 控制报文协议 —— ICMPv4 和 ICMPv6 详解
u013669912的博客
07-17 746
linux web服务器应急响应靶场
01-25
Linux web服务器应急响应靶场是一个模拟真实环境下的紧急事件响应练习场所。该靶场旨在提供一个具有高度仿真度的网络环境,以帮助安全人员提升对Linux web服务器应急响应能力。 首先,靶场会模拟真实的攻击场景,...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值