一、靶机介绍
应急响应靶机训练-Web2
前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。
这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的IP地址(两个)?
2.攻击者的webshell文件名?
3.攻击者的webshell密码?
4.攻击者的伪QQ号?
5.攻击者的伪服务器IP地址?
6.攻击者的服务器端口?
7.攻击者是如何入侵的(选择题)?
8.攻击者的隐藏用户名?
账户密码:
用户:administrator
密码:Zgsf@qq.com
二、解题过程
打开靶机,发现靶机安装了PHP study,打开PHP study,找到web的物理路径,打开
直接使用D盾扫描,进行发现已知后门:system.php
查看D盾的克隆账号检测工具栏,发现隐藏账号hack887$,这个应该是攻击者创建的隐藏账号
打开webshell文件,发现攻击者的webshell密码:hack6618
需要寻找攻击者的ip地址,我们可以分析web网站的日志获得
打开日志文件,我们可以发现攻击者爆破网站目录的日志
直接Ctrl+F搜索system.php,找到攻击者的IP地址192.168.126.135,但从日志中并未发现攻击者的入侵方法
接下来我们分析windows的系统日志,使用APT-Hunter工具的powershell日志收集器自动收集日志信息,将得到的日志解压
使用APT-Hunter.exe工具分析导出来的结果
APT-Hunter.exe -p C:\Users\Administrator\Desktop\logs\wineventlog -o Project1 -allreport
-p:提供包含使用powershell日志收集器提取的日志的解压路径
-o:输出生成项目的名称
打开Project1_Report.xlsx,查看Security Events sheet发现创建隐藏用户hack887$的日志
查看TerminalServices Events sheet发现192.168.126.129登录了hack887$账号,即可以判断192.168.126.129为攻击者的第二个ip
回到PHP study发现靶机开放了ftp服务,并且用密码为弱口令,攻击者可能是从ftp进入靶机的:admin:admin666888
直接查看ftp的日志
发现攻击者暴力破解ftp的日志
发现攻击者上传webshell的日志。攻击者通过暴力破解ftp,得到ftp的密码,上传webshell入侵靶机
寻找其他攻击者留下来的信息,在文档里面发现Tencent Files文件夹
“Tencent Files”翻译成中文是“腾讯文件”,而这意味着该文件夹内储存的都是与腾讯软件(QQ)有关的文件,但这个文件夹一般只有用户使用电脑端的QQ之后才会产生,它与QQ自身的安装文件、缓存文件不同,该文件夹内部保存的都是用户使用QQ过程中产生的文件。用户若拥有多个QQ账号,其数据会被分别存储在名为“腾讯文件”的文件夹内,每个QQ号对应一个独立的子文件夹以作区分
点击进入该文件夹,发现777888999321文件夹,777888999321即为攻击者的qq号
打开FileRecv文件夹文件夹,FileRecv为QQ的接收的文件夹,发现frp内网穿透工具
查看该工具的配置文件发现攻击者的服务器IP地址和端口号
整理得到的信息,提交
