一、背景

小李在某单位驻场值守，深夜12点，甲方已经回家了，小李刚偷偷摸鱼后，发现安全设备有告警，于是立刻停掉了机器开始排查。
这是他的服务器系统，请你找出以下内容，并作为通关条件：

攻击者的IP地址（两个）？
攻击者的webshell文件名？
攻击者的webshell密码？
攻击者的伪QQ号？
攻击者的伪服务器IP地址？
攻击者的服务器端口？
攻击者是如何入侵的（选择题）？

二、IP1

仍然是phpstudy，直接查看apache的日志，通过日志看到攻击者的ip1为：

攻击者IP：192.168.126.135

直接把日志拉到最后从后往前看，发现webshell名字为：system.php

上传的木马名为：system.php

根据文件名直接在www目录下，找到文件，查看文件内容

连接密码为：hack6618

个人习惯，如果有webshell的话，会先看看是否有隐藏用户

lusrmgr.msc

发现有一个隐藏用户，

隐藏账号名：hack887

查看系统日志

eventvwr.msc

筛选事件ID为：4624的事件

发现隐藏用户hack887的登录事件，并且找到第二个ip

192.168.126.129

查看电脑文件，发现QQ文件，打开找到对应文件,发现在电脑上登录过的QQ号

QQ:777888999321

根据上面的qq文件，进行深一步的查看，发现了frp文件

查看配置文件找打vps和端口

VPS：256.256.66.88

端口：65536

只此答案全部已找到，思路可能有点乱，没有按照题目顺序所找，纯碎是个人习惯。想到哪里就找哪里

复现攻击思路，查看ftp日志，发现是通过ftp将webshell上传的，通过爆破ftp账号和密码，连接ftp上传webshell