Windows应急响应靶机 - Web2

2024-06-22 21:12

本文主要是介绍Windows应急响应靶机 - Web2,希望对大家解决编程问题提供一定的参考价值,需要的开发者们随着小编来一起学习吧!

一、靶机介绍

应急响应靶机训练-Web2

前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。

这是他的服务器系统,请你找出以下内容,并作为通关条件:

1.攻击者的IP地址(两个)?

2.攻击者的webshell文件名?

3.攻击者的webshell密码?

4.攻击者的伪QQ号?

5.攻击者的伪服务器IP地址?

6.攻击者的服务器端口?

7.攻击者是如何入侵的(选择题)?

8.攻击者的隐藏用户名?

账户密码

用户:administrator

密码:Zgsf@qq.com

二、解题过程

打开靶机,发现靶机安装了PHP study,打开PHP study,找到web的物理路径,打开

在这里插入图片描述

直接使用D盾扫描,进行发现已知后门:system.php

在这里插入图片描述

查看D盾的克隆账号检测工具栏,发现隐藏账号hack887$,这个应该是攻击者创建的隐藏账号

在这里插入图片描述

打开webshell文件,发现攻击者的webshell密码:hack6618

在这里插入图片描述

需要寻找攻击者的ip地址,我们可以分析web网站的日志获得

在这里插入图片描述

打开日志文件,我们可以发现攻击者爆破网站目录的日志

在这里插入图片描述

直接Ctrl+F搜索system.php,找到攻击者的IP地址192.168.126.135,但从日志中并未发现攻击者的入侵方法

在这里插入图片描述

接下来我们分析windows的系统日志,使用APT-Hunter工具的powershell日志收集器自动收集日志信息,将得到的日志解压

在这里插入图片描述

在这里插入图片描述

使用APT-Hunter.exe工具分析导出来的结果

APT-Hunter.exe -p C:\Users\Administrator\Desktop\logs\wineventlog -o Project1 -allreport-p:提供包含使用powershell日志收集器提取的日志的解压路径
-o:输出生成项目的名称

在这里插入图片描述
在这里插入图片描述

打开Project1_Report.xlsx,查看Security Events sheet发现创建隐藏用户hack887$的日志

在这里插入图片描述

查看TerminalServices Events sheet发现192.168.126.129登录了hack887$账号,即可以判断192.168.126.129为攻击者的第二个ip

在这里插入图片描述

回到PHP study发现靶机开放了ftp服务,并且用密码为弱口令,攻击者可能是从ftp进入靶机的:admin:admin666888

在这里插入图片描述

直接查看ftp的日志

在这里插入图片描述

发现攻击者暴力破解ftp的日志

在这里插入图片描述

发现攻击者上传webshell的日志。攻击者通过暴力破解ftp,得到ftp的密码,上传webshell入侵靶机

在这里插入图片描述

寻找其他攻击者留下来的信息,在文档里面发现Tencent Files文件夹

在这里插入图片描述

“Tencent Files”翻译成中文是“腾讯文件”,而这意味着该文件夹内储存的都是与腾讯软件(QQ)有关的文件,但这个文件夹一般只有用户使用电脑端的QQ之后才会产生,它与QQ自身的安装文件、缓存文件不同,该文件夹内部保存的都是用户使用QQ过程中产生的文件。用户若拥有多个QQ账号,其数据会被分别存储在名为“腾讯文件”的文件夹内,每个QQ号对应一个独立的子文件夹以作区分

点击进入该文件夹,发现777888999321文件夹,777888999321即为攻击者的qq号

在这里插入图片描述

打开FileRecv文件夹文件夹,FileRecv为QQ的接收的文件夹,发现frp内网穿透工具

在这里插入图片描述

查看该工具的配置文件发现攻击者的服务器IP地址和端口号

在这里插入图片描述

整理得到的信息,提交

在这里插入图片描述

这篇关于Windows应急响应靶机 - Web2的文章就介绍到这儿,希望我们推荐的文章对编程师们有所帮助!



http://www.chinasem.cn/article/1085425

相关文章

一文详解SpringBoot响应压缩功能的配置与优化

《一文详解SpringBoot响应压缩功能的配置与优化》SpringBoot的响应压缩功能基于智能协商机制,需同时满足很多条件,本文主要为大家详细介绍了SpringBoot响应压缩功能的配置与优化,需... 目录一、核心工作机制1.1 自动协商触发条件1.2 压缩处理流程二、配置方案详解2.1 基础YAML

如何解决Spring MVC中响应乱码问题

《如何解决SpringMVC中响应乱码问题》:本文主要介绍如何解决SpringMVC中响应乱码问题,具有很好的参考价值,希望对大家有所帮助,如有错误或未考虑完全的地方,望不吝赐教... 目录Spring MVC最新响应中乱码解决方式以前的解决办法这是比较通用的一种方法总结Spring MVC最新响应中乱码解

Windows Server服务器上配置FileZilla后,FTP连接不上?

《WindowsServer服务器上配置FileZilla后,FTP连接不上?》WindowsServer服务器上配置FileZilla后,FTP连接错误和操作超时的问题,应该如何解决?首先,通过... 目录在Windohttp://www.chinasem.cnws防火墙开启的情况下,遇到的错误如下:无法与

Python解析器安装指南分享(Mac/Windows/Linux)

《Python解析器安装指南分享(Mac/Windows/Linux)》:本文主要介绍Python解析器安装指南(Mac/Windows/Linux),具有很好的参考价值,希望对大家有所帮助,如有... 目NMNkN录1js. 安装包下载1.1 python 下载官网2.核心安装方式3. MACOS 系统安

Windows系统下如何查找JDK的安装路径

《Windows系统下如何查找JDK的安装路径》:本文主要介绍Windows系统下如何查找JDK的安装路径,文中介绍了三种方法,分别是通过命令行检查、使用verbose选项查找jre目录、以及查看... 目录一、确认是否安装了JDK二、查找路径三、另外一种方式如果很久之前安装了JDK,或者在别人的电脑上,想

Windows命令之tasklist命令用法详解(Windows查看进程)

《Windows命令之tasklist命令用法详解(Windows查看进程)》tasklist命令显示本地计算机或远程计算机上当前正在运行的进程列表,命令结合筛选器一起使用,可以按照我们的需求进行过滤... 目录命令帮助1、基本使用2、执行原理2.1、tasklist命令无法使用3、筛选器3.1、根据PID

Python中Windows和macOS文件路径格式不一致的解决方法

《Python中Windows和macOS文件路径格式不一致的解决方法》在Python中,Windows和macOS的文件路径字符串格式不一致主要体现在路径分隔符上,这种差异可能导致跨平台代码在处理文... 目录方法 1:使用 os.path 模块方法 2:使用 pathlib 模块(推荐)方法 3:统一使

Windows server服务器使用blat命令行发送邮件

《Windowsserver服务器使用blat命令行发送邮件》在linux平台的命令行下可以使用mail命令来发送邮件,windows平台没有内置的命令,但可以使用开源的blat,其官方主页为ht... 目录下载blatBAT命令行示例备注总结在linux平台的命令行下可以使用mail命令来发送邮件,Win

Windows环境下安装达梦数据库的完整步骤

《Windows环境下安装达梦数据库的完整步骤》达梦数据库的安装大致分为Windows和Linux版本,本文将以dm8企业版Windows_64位环境为例,为大家介绍一下达梦数据库的具体安装步骤吧... 目录环境介绍1 下载解压安装包2 根据安装手册安装2.1 选择语言 时区2.2 安装向导2.3 接受协议

jdk21下载、安装详细教程(Windows、Linux、macOS)

《jdk21下载、安装详细教程(Windows、Linux、macOS)》本文介绍了OpenJDK21的下载地址和安装步骤,包括Windows、Linux和macOS平台,下载后解压并设置环境变量,最... 目录1、官网2、下载openjdk3、安装4、验证1、官网官网地址:OpenJDK下载地址:Ar