知攻善防-Web2
一、背景
小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。
这是他的服务器系统,请你找出以下内容,并作为通关条件:
靶机密码:Zgsf@qq.com
攻击者的IP地址(两个)? |
二、IP1
仍然是phpstudy,直接查看apache的日志,通过日志看到攻击者的ip1为:
攻击者IP:192.168.126.135
三、webshell名字
直接把日志拉到最后从后往前看,发现webshell名字为:system.php
上传的木马名为:system.php
四、webshell密码
根据文件名直接在www目录下,找到文件,查看文件内容
连接密码为:hack6618
五、隐藏用户
个人习惯,如果有webshell的话,会先看看是否有隐藏用户
lusrmgr.msc |
发现有一个隐藏用户,
隐藏账号名:hack887
六、IP2
查看系统日志
eventvwr.msc |
筛选事件ID为:4624的事件
发现隐藏用户hack887的登录事件,并且找到第二个ip
192.168.126.129 |
七、QQ
查看电脑文件,发现QQ文件,打开找到对应文件,发现在电脑上登录过的QQ号
QQ:777888999321 |
八、frp
根据上面的qq文件,进行深一步的查看,发现了frp文件
查看配置文件找打vps和端口
VPS:256.256.66.88
端口:65536
只此答案全部已找到,思路可能有点乱,没有按照题目顺序所找,纯碎是个人习惯。想到哪里就找哪里
复现攻击思路,查看ftp日志,发现是通过ftp将webshell上传的,通过爆破ftp账号和密码,连接ftp上传webshell