应急响应靶机-web2-知攻善防实验室
题目:
前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。
这是他的服务器系统,请你找出以下内容,并作为通关条件:
攻击者的IP地址(两个)?
攻击者的webshell文件名?
攻击者的webshell密码?
攻击者的伪QQ号?
攻击者的伪服务器IP地址?
攻击者的服务器端口?
攻击者是如何入侵的(选择题)?
攻击者的隐藏用户名?
相关账户密码 用户:administrator 密码:Zgsf@qq.com
解题:
攻击者的IP地址(两个)?
直接打开审日志,看了一圈,发现上面光目录扫描,往下看发现存在了一个system.php的文件,有点可疑
用D盾扫描,可疑文件ststem.php
打开
那么攻击者的ip地址就出来了
192.168.126.135
先看看有没有隐藏用户
查看注册表编辑器
发现隐藏用户hack887$
在日志查看器中查看有没有创建这个用户的ip地址
计算机管理>Windows日志>安全
第二个ip地址192.168.126.129
攻击者的webshell文件名?
system.php
攻击者的webshell密码?
hack6618
攻击者的伪QQ号?
伪qq号 777888999321
攻击者的伪服务器IP地址?
FileRecv文件夹内为接收的文件,frp 内网穿透工具,查看配置文件frpc.ini
伪服务器ip256.256.66.88
攻击者的服务器端口?
端口65536
攻击者是如何入侵的(选择题)?
FTP 服务日志记录显示,存在大量登录失败的情况,攻击者使用相同 IP 地址进行暴力破解,试图通过猜测用户名和密码组合来获取访问权限。查看 FTP 日志路径 “C:\phpstudy_pro\Extensions”,发现攻击者还搜索后门文件,可能是通过 FTP 服务上传的,从而进一步判断攻击者是通过 FTP 服务入侵的。
FTP 服务入侵
攻击者的隐藏用户名?
hack887