知攻善防应急响应靶场练习-web2

题目描述

前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的IP地址(两个)?
2.攻击者的webshell文件名?
3.攻击者的webshell密码?
4.攻击者的伪QQ号?
5.攻击者的伪服务器IP地址?
6.攻击者的服务器端口?
7.攻击者是如何入侵的(选择题)?
8.攻击者的隐藏用户名?

相关账户密码
用户:administrator
密码:Zgsf@qq.com

解题步骤

1.攻击者的IP地址(两个)

查询apache的日志

image

这一条是旧日志的相关记录文件,可以用记事本打开,但是观感不好,因为是虚拟机,所以我可以将文件复制出来本地查看,使用VS或者kali的vim编辑器

image

前面没有ip的记录可以跳过,上来就看到192.168.126.135在进行某种扫描(大量404,且访问的是php、html、bat等文件),感觉是目录扫描

个人认为此ip为攻击ip之一,但没有找到实质性的证据,像是一次简单的网页探测

我们只查看了apache服务的相关日志,还没有查看ftp及mysql的相关日志,别跟着官方的wp走,开启了服务后,日志会更新,以前的ftp日志被替换了,mysql倒是没找到日志文件

那么我们来看ftp日志

image

前面的话一直是尝试登录连接,但是什么也看不出来,直到上图才发现向服务器保存了system.php

那么我们来看看这个文件

image

确实是webshell文件,那么我有依据确定此ip具有攻击现象,证据固定,逮捕一个

另一个ip是通过log parser工具查看分析工具 查看远程登录成功日志得到的,同时也能看到隐藏账户

image

2.攻击者的webshell文件名

请看1题题解,答案为system.php

3.攻击者的webshell密码

image

hack6618,如此明显的密码

4.攻击者的伪QQ号

这个看了半天也没找到,结果按着7-5-6题的顺序发现了痕迹

image

QQ号不都是纯数字吗,那这也是纯数字,说不定是,提交验证确实是正确答案

5.攻击者的伪服务器IP地址

image

请先查看第7题,然后在这里看到他的配置文件时找到了答案

6.攻击者的服务器端口

请看第5题截图

7.攻击者是如何入侵的(选择题)

image

这个访问记录留的真好,一看发现使用了frp(内网穿透工具),所以这里确定了攻击方法为ftp攻击

8.攻击者的隐藏用户名

image

没有,查看用户和用户组

image

找到了,隐藏账户可以在此显示,如果是影子账户就不得不借助工具或者查看注册表了

image

答案

题目 答案
1.攻击者的IP地址(两个) 192.168.126.135 192.168.126.129
2.攻击者的webshell文件名 system.php
3.攻击者的webshell密码 hack6618
4.攻击者的伪QQ号 777888999321
5.攻击者的伪服务器IP地址 256.256.66.88
6.攻击者的服务器端口 65536
7.攻击者是如何入侵的(选择题) ftp攻击
8.攻击者的隐藏用户名 hack887

靶机资源请关注微信公众号“知攻善防实验室”获取

posted @ 2024-12-12 10:36  kriton  阅读(1620)  评论(0)    收藏  举报