应急响应靶机训练 - Web2
应急响应靶机训练 - Web2
小李在某单位驻场值守,深夜 12 点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。这是他的服务器系统,请你找出以下内容,并作为通关条件:
- 攻击者的 IP 地址(两个);
- 攻击者的 Webshell 文件名;
- 攻击者的 Webshell 密码;
- 攻击者的伪 QQ 号;
- 攻击者的伪服务器 IP 地址;
- 攻击者的服务器端口;
- 攻击者的隐藏用户名;
- 攻击者是如何入侵的;
相关账户密码:administrator/Zgsf@qq.com
1 日志分析
由于服务器之前关过,这里需要先启动 Web 服务,使用浏览器访问 Web 页面:
一眼 WordPress,看页面正常,直接去看日志文件,使用 Notepad++ 打开(C:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1709164800):
经查看 192.168.126.135 在 2024-02-29 12:35:10 访问了站点,在 2024-02-29 12:38:30 进行了目录扫描操作。
接着往下查看,发现在 2024-02-29 12:39:33 左右结束扫描。而后在 2024-02-29 13:02:00 访问了 system.php 文件:
打开站点目录,在站点目录下查看 system.php 文件内容:
看着像哥斯拉木马,那这个文件是怎么传上来的呢?日志上没看出来,不过在 PhpStudy 中可以看到,这个服务器上是有 FTP 服务的:
直接查看 FTP 日志信息(C:\phpstudy_pro\Extensions\FTP0.9.60\Logs\fzs-2024-02-29.log):
发现 192.168.126.135 在 2024-02-29 12:35:30 访问了 FTP 服务:
在 2024-02-29 12:42:03 开始爆破 FTP 账号密码,在 2024-02-29 12:48:11 成功爆破:
在 2024-02-29 13:01:39 上传 system.php 文件:
查看下 FTP 服务的根目录,发现就是 Web 站点根目录:
使用 D 盾查看是否还存在其他 WebShell 文件:
2 隐藏用户
使用 D 盾看看是否存在隐藏用户,发现存在 hack887$ 用户:
使用 D 盾删除该用户,去该用户家目录下发现克隆用户所用的注册表文件:
查看该远程用户之前登录的 IP:
3 痕迹追踪
剩下的部分感觉有点玄学,我是真没发现。
查看当前用户下的文档目录,发现一个 Tencent Files 文件,可能直接黑客安装了 QQ?
点进去发现了个 QQ 号:
再点进去可以发现 FileRecv 目录,这是 QQ 接收的文件存储目录:
再点进去出现 frp 工具,用于内网穿透(不过好像没啥用):
打开 frpc.ini 文件,即可发现攻击者的服务器地址和开放端口号:
4 总结攻击流程
Flag 如下:
攻击者的 IP 地址(两个);192.168.126.135、192.168.126.129
攻击者的 Webshell 文件名;system.php
攻击者的 Webshell 密码;hack6618
攻击者的伪 QQ 号;777888999321
攻击者的伪服务器 IP 地址;256.256.66.88
攻击者的服务器端口;65536
攻击者的隐藏用户名;hack887$
攻击者是如何入侵的;
2024-02-29 12:35:10 访问了 Web 站点;
2024-02-29 12:35:30 访问了 FTP 服务:
2024-02-29 12:38:30 对 Web 站点进行目录扫描操作;
2024-02-29 12:39:33 结束目录扫描;
2024-02-29 12:42:03 开始爆破 FTP 账号密码;
2024-02-29 12:48:11 成功爆破;
2024-02-29 13:01:39 上传 system.php 文件;
2024-02-29 13:02:00 访问了 system.php 文件;
2024-02-29 13:27:11 创建了 hack887$ 用户;
2024-02-29 13:28:48 远程连接到 hack887$ 用户;
2024-02-29 13:40:02 安装了 QQ;
2024-02-29 13:47:00 传输了 FRP 工具(好像没后续了);
