应急响应靶机训练-Web2【题解】

前言

接上文，应急响应靶机训练-Web2。

此文为应急响应靶机训练-Web2【题解】篇

视频号讲解

我什么都不会啊

解题过程

开启此虚拟机

启动靶机内所有服务

再PHP study下方有日志文件，找到apache的日志文件

开始分析

攻击者使用工具进行目录扫描

但未找到webshell上传特征

在C:\phpstudy_pro\Extensions\FTP0.9.60\Logs目录找到相关特征

找到ftp上传system.php，经查证，为webshell文件,记录IP地址：192.168.126.135

webshell密码为hack6618

寻找隐藏用户

使用蓝队工具箱中，Windows日志一键分析

发现存在hack887$

记录IP地址：192.168.126.129

删除用户失败

控制面板寻找账户并未发现

猜测该用户为克隆administrator隐藏用户，注册表寻找该用户

找到隐藏账户hack887$

删除该项以及3E8

寻找黑客遗留下来的信息

在文档内发现Tencent Files文件夹，猜测使用过通讯工具

找到黑客伪QQ号

777888999321

FileRecv文件夹内为接收的文件

发现frp（内网穿透工具）

在frpc.ini的配置文件中找到伪IP以及伪端口

最后统一信息：

IP1:192.168.126.135

IP2:192.168.126.129

伪QQID:777888999321

伪服务器地址：256.256.66.88

伪端口：65536

隐藏用户名：hack887$

webshell密码：hack6618

webshell名称：system.php

打开解题.exe

解题成功！

文末

关注公众号“知攻善防实验室”，回复“交流群”获取技术交流群链接