web应急响应靶场2
看到题解有啥子
还是打开php看看网站的web日志,看到这个system.php很可疑。我们打开看看这个文件
在打开这个文件看看
确定是一个webshell文件了,然后我们得分析溯源看看他是怎么上传的system.php
看这个文件的属性他是在2月29号 13点左右创建的
我们先顺着web日志看看,确实是在这个时候开始访问的system.php
但是我们并没还有看出他是怎么上传的webshell,而且从日志上来看,他之前有大量的404访问。说明他是在爆破
后台敏感的文件。但是没有爆破出来,之后隔了一段时间就直接去访问system.php了。说明她不是通过web直接上传的。那么他就只能通过其他服务上传了
看看网络端口都开了哪些服务
首先看到开启了ftp服务,ftp是有可能上传webshenll的
打开ftp对应的日志文件
我们看到了确实是攻击者进行了ftp暴力破解
到这他是成功爆破了
然后上传了system.php
攻击者getshell后应该是去创建隐藏用户了,这个在创建克隆用户
修改密码登录进去
它既然创建了克隆用户就可以远程登录,应该是提权了。检查安全日志,可以使用蓝队工具箱的windows日志一件分析
看到攻击者第二个ip 192.168.126.129
那么我们看看她到底都上传了什么东西
留下了什么痕迹?
发现一个类似qq号文件,因该是利用qq上传了东西 777888999321
看到frp这个内网渗透的工具了
看到服务器和端口地址 server是256.256.66.88 port:65536
