Windows应急响应靶机 - Web2

2024-06-22 21:12

本文主要是介绍Windows应急响应靶机 - Web2,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、靶机介绍

应急响应靶机训练-Web2

前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。

这是他的服务器系统,请你找出以下内容,并作为通关条件:

1.攻击者的IP地址(两个)?

2.攻击者的webshell文件名?

3.攻击者的webshell密码?

4.攻击者的伪QQ号?

5.攻击者的伪服务器IP地址?

6.攻击者的服务器端口?

7.攻击者是如何入侵的(选择题)?

8.攻击者的隐藏用户名?

账户密码

用户:administrator

密码:Zgsf@qq.com

二、解题过程

打开靶机,发现靶机安装了PHP study,打开PHP study,找到web的物理路径,打开

在这里插入图片描述

直接使用D盾扫描,进行发现已知后门:system.php

在这里插入图片描述

查看D盾的克隆账号检测工具栏,发现隐藏账号hack887$,这个应该是攻击者创建的隐藏账号

在这里插入图片描述

打开webshell文件,发现攻击者的webshell密码:hack6618

在这里插入图片描述

需要寻找攻击者的ip地址,我们可以分析web网站的日志获得

在这里插入图片描述

打开日志文件,我们可以发现攻击者爆破网站目录的日志

在这里插入图片描述

直接Ctrl+F搜索system.php,找到攻击者的IP地址192.168.126.135,但从日志中并未发现攻击者的入侵方法

在这里插入图片描述

接下来我们分析windows的系统日志,使用APT-Hunter工具的powershell日志收集器自动收集日志信息,将得到的日志解压

在这里插入图片描述

在这里插入图片描述

使用APT-Hunter.exe工具分析导出来的结果

APT-Hunter.exe -p C:\Users\Administrator\Desktop\logs\wineventlog -o Project1 -allreport-p:提供包含使用powershell日志收集器提取的日志的解压路径
-o:输出生成项目的名称

在这里插入图片描述
在这里插入图片描述

打开Project1_Report.xlsx,查看Security Events sheet发现创建隐藏用户hack887$的日志

在这里插入图片描述

查看TerminalServices Events sheet发现192.168.126.129登录了hack887$账号,即可以判断192.168.126.129为攻击者的第二个ip

在这里插入图片描述

回到PHP study发现靶机开放了ftp服务,并且用密码为弱口令,攻击者可能是从ftp进入靶机的:admin:admin666888

在这里插入图片描述

直接查看ftp的日志

在这里插入图片描述

发现攻击者暴力破解ftp的日志

在这里插入图片描述

发现攻击者上传webshell的日志。攻击者通过暴力破解ftp,得到ftp的密码,上传webshell入侵靶机

在这里插入图片描述

寻找其他攻击者留下来的信息,在文档里面发现Tencent Files文件夹

在这里插入图片描述

“Tencent Files”翻译成中文是“腾讯文件”,而这意味着该文件夹内储存的都是与腾讯软件(QQ)有关的文件,但这个文件夹一般只有用户使用电脑端的QQ之后才会产生,它与QQ自身的安装文件、缓存文件不同,该文件夹内部保存的都是用户使用QQ过程中产生的文件。用户若拥有多个QQ账号,其数据会被分别存储在名为“腾讯文件”的文件夹内,每个QQ号对应一个独立的子文件夹以作区分

点击进入该文件夹,发现777888999321文件夹,777888999321即为攻击者的qq号

在这里插入图片描述

打开FileRecv文件夹文件夹,FileRecv为QQ的接收的文件夹,发现frp内网穿透工具

在这里插入图片描述

查看该工具的配置文件发现攻击者的服务器IP地址和端口号

在这里插入图片描述

整理得到的信息,提交

在这里插入图片描述

这篇关于Windows应急响应靶机 - Web2的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1085425

相关文章

Windows 上如果忘记了 MySQL 密码 重置密码的两种方法

《Windows上如果忘记了MySQL密码重置密码的两种方法》:本文主要介绍Windows上如果忘记了MySQL密码重置密码的两种方法,本文通过两种方法结合实例代码给大家介绍的非常详细,感... 目录方法 1:以跳过权限验证模式启动 mysql 并重置密码方法 2:使用 my.ini 文件的临时配置在 Wi

html5的响应式布局的方法示例详解

《html5的响应式布局的方法示例详解》:本文主要介绍了HTML5中使用媒体查询和Flexbox进行响应式布局的方法,简要介绍了CSSGrid布局的基础知识和如何实现自动换行的网格布局,详细内容请阅读本文,希望能对你有所帮助... 一 使用媒体查询响应式布局        使用的参数@media这是常用的

Windows Docker端口占用错误及解决方案总结

《WindowsDocker端口占用错误及解决方案总结》在Windows环境下使用Docker容器时,端口占用错误是开发和运维中常见且棘手的问题,本文将深入剖析该问题的成因,介绍如何通过查看端口分配... 目录引言Windows docker 端口占用错误及解决方案汇总端口冲突形成原因解析诊断当前端口情况解

Redis在windows环境下如何启动

《Redis在windows环境下如何启动》:本文主要介绍Redis在windows环境下如何启动的实现方式,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Redis在Windows环境下启动1.在redis的安装目录下2.输入·redis-server.exe

springboot filter实现请求响应全链路拦截

《springbootfilter实现请求响应全链路拦截》这篇文章主要为大家详细介绍了SpringBoot如何结合Filter同时拦截请求和响应,从而实现​​日志采集自动化,感兴趣的小伙伴可以跟随小... 目录一、为什么你需要这个过滤器?​​​二、核心实现:一个Filter搞定双向数据流​​​​三、完整代码

一文详解SpringBoot响应压缩功能的配置与优化

《一文详解SpringBoot响应压缩功能的配置与优化》SpringBoot的响应压缩功能基于智能协商机制,需同时满足很多条件,本文主要为大家详细介绍了SpringBoot响应压缩功能的配置与优化,需... 目录一、核心工作机制1.1 自动协商触发条件1.2 压缩处理流程二、配置方案详解2.1 基础YAML

如何解决Spring MVC中响应乱码问题

《如何解决SpringMVC中响应乱码问题》:本文主要介绍如何解决SpringMVC中响应乱码问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Spring MVC最新响应中乱码解决方式以前的解决办法这是比较通用的一种方法总结Spring MVC最新响应中乱码解

Windows Server服务器上配置FileZilla后,FTP连接不上?

《WindowsServer服务器上配置FileZilla后,FTP连接不上?》WindowsServer服务器上配置FileZilla后,FTP连接错误和操作超时的问题,应该如何解决?首先,通过... 目录在Windohttp://www.chinasem.cnws防火墙开启的情况下,遇到的错误如下:无法与

Python解析器安装指南分享(Mac/Windows/Linux)

《Python解析器安装指南分享(Mac/Windows/Linux)》:本文主要介绍Python解析器安装指南(Mac/Windows/Linux),具有很好的参考价值,希望对大家有所帮助,如有... 目NMNkN录1js. 安装包下载1.1 python 下载官网2.核心安装方式3. MACOS 系统安

Windows系统下如何查找JDK的安装路径

《Windows系统下如何查找JDK的安装路径》:本文主要介绍Windows系统下如何查找JDK的安装路径,文中介绍了三种方法,分别是通过命令行检查、使用verbose选项查找jre目录、以及查看... 目录一、确认是否安装了JDK二、查找路径三、另外一种方式如果很久之前安装了JDK,或者在别人的电脑上,想