SfTian 知攻善防hvv模拟靶机Web2 # Web2靶机 ## 情况描述 小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。 ## 通关条件 1. 攻击者的IP地址(2个) 2. 攻击者的Webshell文件名 3. 攻击者的Webshell密码 4. 攻击者的伪QQ号 5. 攻击者的伪服务器IP地址 6. 攻击者的服务器端口 7. 攻击者是如何入侵的(选择题) 8. 攻击者的隐藏用户名 ## 服务器环境 Windows Server 2022 PHPStudy 用户administrator 密码Zgsf@qq.com ## 解题思路 ### 观察环境 有PHPStudy,直接进去查看Apache NGINX FileZilla的log ### 分析Filezilla Log 在FileZilla的log中不难发现有 `192.168.126.135` 在不断尝试登录并通过 `admin` 账号成功登录并上传了 `system.php` 的webshell审计代码后发现是冰蝎马,连接密码为 `hack6618` ### 分析Apache Log 可以看到 `192.168.126.135` 通过暴力便利目录来访问并确定是 `WordPress` 程序 ### 寻找隐藏账户 打开 `计算机管理-本地用户和组-用户` 可以看到有 `hack887$` 用户名,打开事件查看器可以看到攻击者登陆的来源IP为 `192.168.126.129` ### 收集更多信息 先不着急把攻击者的内容删掉,进入攻击者的文件夹,在桌面可以找到两个注册表,翻阅两个用户的 `文档` 文件夹,发现有 `Tencent File` 可以找到攻击者的QQ号为 `777888999321` 顺然而然找到 `FileRecv` 文件夹,可以发现有frp那么就直接搜集到更多信息,打开 `frpc.ini` 可以看到有攻击者的服务器IP和端口 ## 答案 1. 攻击者IP地址 `192.168.126.135` 和 `192.168.126.129` 2. 攻击者Webshell文件名 `system.php` 3. 攻击者Webshell密码 `hack6618` 4. 攻击者的隐藏用户名 `hack887$` 5. 攻击者的QQ号 `777888999321` 6. 攻击者的服务器IP `256.256.66.88` 7. 攻击者的端口 `65536` 8. 攻击思路:通过ftp爆破从而在登陆后传冰蝎马创建隐藏用户名来远程控制  ## 复盘 ### FTP存在弱口令或存在易被爆破的账号 攻击者通过先扫网站目录发现是Wordpress站点后又通过Filezilla弱口令爆破爆破进来上传冰蝎马,然后通过冰蝎设置一个隐藏用户并把权限提升至 `Administrator` 远程登陆后使用QQ传输了一个 frp 但由于没有删除干净所以残余有内容,可以获取到攻击者服务器IP和端口 取消回复 发表新评论 提交评论
