应急响应靶机练习-Web2

一、靶机介绍

这个靶机主要是通过暴力破解ftp,获取ftp账号后上传了php shell,获取shell后创建后门用户,以及做了一些端口转发操作。

靶机采用phpstudy,开启了ftp和web服务,但是要注意的是,一旦ftp开启,日志将会被复写,因此如果直接启用服务的话,会破坏日志这类重要的证据哦,因此溯源的第一要义就是先拷贝好数据。

二、溯源分析

(1)查看最近文件

可以发现网站目录、frp端口转发程序。

(2)查看日志

apache日志表明,192.168.126.135 在1235H-1300H对网站进行了目录探测,并在1305H左右访问了system.php多次,从访问记录来看,应该是通过别的入口上传的system.php,因为并没有访问到网站的后台界面。

查看ftp日志,发现了大量的192.168.126.135密码测试记录,最终成功了,成功登录后,上传了system.php

(3)文件分析

在网站根目录下,发现systen.php和3389.bat,对文件进行分析,

发现system.php的连接密码为hack6618,

3389.bat主要是开启远程桌面服务

(4)系统日志分析

远程登录日志分析,发现192.168.126.129远程登录该主机。

hack887$影子账户添加的日志记录

(5)qq号

根据最近访问记录,可以看到frp端口转发程序,查看配置可以看到服务器和端口。

三、结果

相关推荐
菩提小狗41 分钟前
每日安全情报报告 · 2026-07-16
网络安全·漏洞·cve·安全情报·每日安全
Fnetlink13 小时前
2026年SDWAN供应商如何选,从“连通“到“智连“的架构演进
大数据·网络安全
todoitbo4 小时前
让数据看板随时可见:Grafana + cpolar 远程访问实战
ui·网络安全·grafana·数据看板·远程访问
Fnetlink15 小时前
Fnet 云网安 260717
网络·安全·网络安全
txg6667 小时前
Agent 攻击 Agent:自动检测 LLM Agent 中的污点式漏洞
人工智能·深度学习·安全·网络安全
2501_9151063220 小时前
TraceEagle 代理抓包教程 本机和手机的 HTTPS 抓包方法
网络协议·计算机网络·网络安全·ios·adb·https·udp
Chockmans1 天前
春秋云境CVE-2023-51385(保姆级教学)
大数据·web安全·elasticsearch·搜索引擎·网络安全·春秋云境·cve-2023-51385
ICT系统集成阿祥1 天前
WAF部署方式对比(主流5种:透明桥、反向代理、旁路镜像、串接路由、云WAF)
网络安全·waf·部署模式
清欢渡---1 天前
HCIP-第五章vrrp
网络·网络安全·hcip
m0_738120722 天前
AI安全实战系列(二):Lab01 Foundations和Lab02 Prompt Injection
linux·运维·人工智能·安全·网络安全·系统安全