文章目录

前言

一、应急响应

1、背景

2、webshell查杀

3、日志排查

1）apache日志

2）nginx日志

3）ftp日志

4、隐藏账户

5、文件筛选

二、漏洞复现

总结

---

前言

靶场来源：知攻善防实验室

---

一、应急响应

1、背景

小李在某单位驻场值守，深夜12点，甲方已经回家了，小李刚偷偷摸鱼后，发现安全设备有告警，于是立刻停掉了机器开始排查。
这是他的服务器系统，请你找出以下内容，并作为通关条件：

账户密码：Administrator/Zgsf@qq.com

1.攻击者的IP地址（两个）？
2.攻击者的webshell文件名？
3.攻击者的webshell密码？
4.攻击者的伪QQ号？
5.攻击者的伪服务器IP地址？
6.攻击者的服务器端口？
7.攻击者是如何入侵的（选择题）？
8.攻击者的隐藏用户名？

2、webshell查杀

进入服务器开启phpstudy，并开启相关服务

使用D盾直接先查杀网站根目录看看

找到了后门文件：system.php，查看一下文件，得到后门密码：hack6618

解决第2，3题

3、日志排查

1）apache日志

可以看到有大量的get请求各种目录，很明显是在做目录扫描，我们可以看到攻击者的IP：192.168.126.135（其中一个）

然后观察到它后面直接通过POST请求访问到了后门文件，但是这里没有文件上传的记录，可以猜测攻击者不是从这里取得服务器权限的。

2）nginx日志

没有日志记录，因为是apache的网站

3）ftp日志

ftp服务日志有很多内容记录，可以观察到有许多登陆失败的日志，很明显是在做口令暴力破解，攻击者IP也是一样的

我们直接搜索后门文件，看看是不是通过ftp服务上传的

可以看到这里有成功上传后门文件的日志，说明攻击者成功爆破了ftp服务的账户密码，然后上传了后门文件

经典弱口令

现在解决了第7，1题（部分）

4、隐藏账户

可以直接借助D盾工具查看

隐藏账户：hack887

通过克隆管理员账号无法通过控制面板和计算机管理查看到，只能到注册表里看

同时可以查一下安全日志有无远程登陆情况

有查看到有远程登陆成功的日志，并且IP为：192.168.126.129

问题1，8解决

5、文件筛选

作者提到攻击者的伪QQ号和服务器IP，端口类信息，但是由于这是本地环境，肯定没有ip外联，或者还存在什么进程运行之类的。

我们可以查一下攻击者上传后门后的那一段时间新增的文件，进行排查，后门上传时间是2024-2-29 13:00左右。

使用everything工具方便一点

注意到13:45分左右创建了tencent目录和frp压缩包，很明显tencent可能和QQ相关，frp是内网穿透工具，配置文件应该会存在攻击者的vps和端口。对应查看一下

777888999321应该是伪QQ号

frp配置文件中可以看到攻击者服务器地址和端口信息

IP:256.256.66.88,端口：65536

解题完成

二、漏洞复现

这个靶机就不复现了，很简单可以利用kali的msf中的ftp暴力破解模块或者hydra去爆破服务器的ftp账户密码，成功后就直接可以上传后门文件，就取得服务器权限了。

---

总结

因为是本地靶机的原因，所以省去了检查外联ip和异常进程等过程，以及因为有题目指引也没有检查启动项和计划任务等重要功能，真实应急时都应该做充分检查。