知攻善防应急响应靶机训练-Web2

前言:

本次应急响应靶机采用的是知攻善防实验室的Web-2应急响应靶机 靶机下载地址为: https://pan.quark.cn/s/4b6dffd0c51a 相关账户密码 用户:administrator 密码:[email protected]

解题过程:

一、攻击者的IP地址(两个)?

还是老办法去看web日志

这边直接搜索.php 发现可疑文件ststem.php

将整个www目录放入d盾扫描

ok 这个system.php 就是webshell文件

那么攻击者的ip地址就出来了

192.168.126.135

但是问题中有两个ip地址

还有一个在哪找呢???

先看看有没有隐藏用户

查看注册表

发现隐藏用户hack887$

在日志查看器中查看有没有创建这个用户的ip地址

筛选id为4648

ok找到了第二个ip地址192.168.126.129

二、攻击者的webshell文件名?

文件名自然而然也出来了 显而易见 system.php

三、攻击者的webshell密码?

找到文件所在位置 用记事本打开

密码为hack6618

四、攻击者的伪QQ号?

找寻一下黑客创建的隐藏用户中有没有扫描文件信息

伪qq号 777888999321

五、攻击者的伪服务器IP地址?

FileRecv文件夹内为接收的文件

frp 内网穿透工具

查看配置文件frpc.ini

伪服务器ip256.256.66.88

六、攻击者的服务器端口?

端口65536

七、攻击者是如何入侵的(选择题)?

ftp服务日志有很多内容记录,可以观察到有许多登陆失败的日志,很明显是在做口令暴力破解,攻击者IP也是一样的

直接搜索后门文件,看看是不是通过ftp服务上传的

ftp日志路径为

那么看来攻击者就是由ftp打进来的了

八、攻击者的隐藏用户名?

hack887

ok收工

相关推荐
ccc_9wy10 天前
玄机-第四章 windows实战-emlog的测试报告
网络安全·日志分析·应急响应·玄机靶场·windows实战-emlog·py反编译·挖矿分析
H轨迹H1 个月前
Vulnhub-DC-9靶机-SQL注入拿到账户+利用端口敲门连接ssh+信息泄露利用root脚本追加提权
网络安全·渗透测试·vulnhub·ctf·靶机·oscp
落寞的魚丶1 个月前
2024-2025 学年广东省职业院校技能大赛 “信息安全管理与评估”赛项 技能测试试卷(四)
高职组·应急响应·2025广东省赛·2024-2025职业技能大赛·信息安全评估管理赛项
H轨迹H1 个月前
VulnHub-DC-6靶机-wpscan爆破+命令注入反弹shell+nmap提权
linux·网络安全·渗透测试·vulnhub·靶机
H轨迹H1 个月前
Vulnhun靶机-kioptix level 4-sql注入万能密码拿到权限ssh连接利用mysql-udf漏洞提权
网络安全·渗透测试·vulnhub·靶机·web漏洞·oscp
廾匸07051 个月前
《95015网络安全应急响应分析报告(2024)》
网络安全·行业报告·应急响应
Clockwiseee2 个月前
玄机靶场--第一章 应急响应- Linux入侵排查
linux·服务器·学习·安全·web安全·应急响应·入侵排查
Clockwiseee2 个月前
玄机靶场--第一章 应急响应-webshell查杀
学习·安全·web安全·靶场·应急响应·webshell查杀
独行soc2 个月前
#攻防演练#应急响应#对于挖矿的检测以及防御方案
安全·区块链·应急响应·挖矿·主机排查·木马排查