打开小皮根目录/www/index.php,发现有黑客痕迹。
打开文件属性查看最后一次修改时间。
用D盾扫出来发现有两个马。
这就是文件名答案。
连接密码是pass。
打开注册表里,这边有个隐藏用户“admin$”,这个在登陆界面也能看到。
tips:这里注册表一开始没有管理员权限无法查看sam表下的目录,要改一下权限然后刷新一下。
用事件查看器查看用户进管理组的时间。(eventvwr.msc)
已知用户创建是2023/11/6/4:45:34,所以从这里开始筛选。
并且改事件id为4732.
发现4:46:07进入管理组。
关于密钥的事件id。
找到一个最早的。
筛选4624。发现登陆进程为NTLM,确定是pass the hash。
找cs木马,下载d盾用windowspowershell或者cmd运行。
这里有个小插曲,就是我原来是没找到这两个文件的,后来说是已经被windows defence发现并且放进隔离区了,去隔离区还原才能被fs找到。
这里有几个工具包里的文件也符合webshell或者木马规范的也被找出来了。
ok,就此结束。