一、靶机介绍
这个靶机主要是通过暴力破解ftp,获取ftp账号后上传了php shell,获取shell后创建后门用户,以及做了一些端口转发操作。
靶机采用phpstudy,开启了ftp和web服务,但是要注意的是,一旦ftp开启,日志将会被复写,因此如果直接启用服务的话,会破坏日志这类重要的证据哦,因此溯源的第一要义就是先拷贝好数据。
二、溯源分析
(1)查看最近文件
可以发现网站目录、frp端口转发程序。
(2)查看日志
apache日志表明,192.168.126.135 在1235H-1300H对网站进行了目录探测,并在1305H左右访问了system.php多次,从访问记录来看,应该是通过别的入口上传的system.php,因为并没有访问到网站的后台界面。
查看ftp日志,发现了大量的192.168.126.135密码测试记录,最终成功了,成功登录后,上传了system.php
(3)文件分析
在网站根目录下,发现systen.php和3389.bat,对文件进行分析,
发现system.php的连接密码为hack6618,
3389.bat主要是开启远程桌面服务
(4)系统日志分析
远程登录日志分析,发现192.168.126.129远程登录该主机。
hack887$影子账户添加的日志记录
(5)qq号
根据最近访问记录,可以看到frp端口转发程序,查看配置可以看到服务器和端口。
三、结果
