应急响应靶场——web2——知攻善防实验室
密码:
Zgsf@qq.com
背景介绍
小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。
挑战内容
1.攻击者的IP地址(两个)
2.攻击者的webshell文件名
3.攻击者的webshell密码
4.攻击者的伪QQ号
5.攻击者的伪服务器IP地址
6.攻击者的服务器端口
7.攻击者是如何入侵的(选择题)
8.攻击者的隐藏用户名
1.攻击者的ip地址:
查找 Apache 日志
找到了第一个ip
192.168.126.135
继续找第二个ip
事件查看器->应用程序和服务日志->TerminalSerices-RemoteConnectionManagel->Operational
筛选当前日志--1149代表远程连接成功
第二个ip
192.168.126.129
2.攻击者的webshell文件名
D盾扫一下根目录
system.php
3.攻击者的webshell密码
查看 system.php
4.攻击者的伪QQ
由于是克隆用户,肯定会留下一些信息,寻找攻击者遗留下来的信息,在文档内发现 Tencent Files 文件夹,猜测使用过腾讯的通讯工具,打开后发现黑客伪QQ号 777888999321
777888999321
5.攻击者的伪服务器IP地址
frp配置文件中可以看到攻击者服务器地址和端口信息
攻击者的IP:256.256.66.88
6.服务器端口
由5可得,端口:65536
7.攻击者是如何入侵的(选择题)
攻击者通过 FTP(文件传输协议)进行入侵,通常利用以下几种方式:
弱密码/默认密码: 这是最常见的方式。攻击者会尝试使用默认的、简单的或容易被猜到的密码(如 "admin", "123456", "password")登录 FTP 服务器。许多服务器默认会启用匿名 FTP 访问,如果未禁用,攻击者就可以无需密码就上传恶意文件。
暴力破解: 攻击者使用自动化工具(如 Hydra, Medusa)尝试大量用户名和密码组合,直到找到正确的组合。
漏洞利用: 攻击者利用 FTP 服务器软件本身存在的安全漏洞(如缓冲区溢出、命令注入等)来获取更高的权限或执行恶意代码。
中间人攻击 (Man-in-the-Middle, MITM): 如果 FTP 通信未加密(即使用明文的 FTP 而非 FTPS/SFTP),攻击者可以在网络路径中截获用户的登录凭证(用户名和密码)。
社会工程学: 攻击者可能通过钓鱼邮件、假冒身份等方式诱骗用户泄露 FTP 账号和密码。
一旦攻击者成功登录 FTP 服务器,他们通常可以上传恶意文件(如网页脚本、可执行程序),修改现有文件,或者删除重要数据,从而对系统造成破坏或进一步入侵。由于 FTP 协议本身设计上的缺陷(如明文传输、缺乏强认证机制),它一直是网络攻击的一个常见入口点。
8.攻击者的隐藏用户名
hack887$
