Where-1s-tHe-Hacker-P2

First Post:

Last Update:

Win10提示病毒和威胁防护由你的组织管理怎么办-百度经验 (baidu.com)

场景描述:
水哥是某公司的一名运维,某天他在日常巡检的过程中发现了异常,敏锐的他感觉到了事情的不妙,于是联系同事要到了你的电话,请你帮助他解决这个难题。

靶机用户和密码
用户:admin
密码:Aa123456

进入靶机桌面后运行phpstudy即可开启相关服务。

#环境编号:应急靶机02
#环境名称:Where-1s-tHe-Hacker-P2

1.最早的WebShell落地时间是?(时间题统一格式:2022/12/12/2:22:22)

flag{2023/11/11/0:30:07}

2.上题WebShell的连接密码是?
flag{pass}
3.CobaltStrike远程控制木马的文件名与落地时间是?(格式:ABC.exe,2022/12/12/2:22:22)

flag{huorong.exe,2023/11/15/7:45:47}

4.启用并添加进管理员组的用户与时间是?(格式:Username,2022/12/12/2:22:22)

flag{Guest,2023/11/11/0:45:59}

5.CobaltStrike木马被添加进计划任务的时间是?

flag{2023/11/15/8:02:20}

6.攻击者使用弱口令登录ftp的时间是?(日志审计部分)

flag{2023/11/11/1:08:54}

7.攻击者使用弱口令登录web管理员的时间是?

flag{2023/11/15/7:38:31}

8.攻击者查看上传回显路径的时间是?

flag{2023/11/15/7:38:53}

9.第二批WebShell的最早上传时间是?

flag{2023/11/15/7:40:10}

10.根据上题线索,WebShell开始通信的时间是?

flag{2023/11/15/7:42:36}

过程:
使用 D 盾扫描一下,发现很多 webshell,连接密码是 pass

去到木马所在的目录,发现木马都是一样的,按照时间排下序,找到最早的创建时间

病毒和威胁防护里,扫描一下,出来一个木马

去事件查看器,过滤一下事件ID4732(加入管理员组),只有第一个的日期是靠近 webshell 落地的时间,并且来宾用户一般是不启用的

\Microsoft\Windows\AppID\ 里的 Microsoft-SysnomCon发现计划任务是‘huorong.exe’

我们去找 ftp 的日志,在C:\phpstudy_pro\Extensions\FTP0.9.60\Logs\fzs-2023-11-11.log 里发现用户名 ftp 和密码****** 在登录

查看‘C:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1700006400’日志,在这里发现在爆破 密码,因为‘/admin.php’这个页面是登录页面,并且用户名和密码都是弱口令(admin:123456)

并且在日志里发现‘/index.php?mod=mobile&act=public&do=verify&beid=1’这个路径可以获取验证码,然后后面两条 302 的日志应该是在爆破用户名和 密码,后面一条 200 的日志应该是爆破成功

通过访问下面的路径‘/index.php?mod=site&do=file&act=public&op=local&beid=1&page=1&year=0&month=0’得到 webshell 的路径

我们尝试连接,发现可以成功连接

我们也可以从文件里看,我们可以看到木马有两批,第一批的 11 号,第二批是 15 号,直接看 15 号的最早的一个木马文件就可以知道上传时间了

在日志最后发现在访问 webshell

‘dtbt624BAt6Z44T.php’文件也是 webshell,并且有数据流的返回

为什么不是第一个访问 webshell 的时间,因为问题是通信,什么是通信,我认为就是有数据流的交换,第一个访问 webshell 的时间,虽然是 200 但是没有数据流的返回,所以不能认为是第一个访问 webshell 的时间是答案

reward
支付宝 | Alipay
微信 | Wechat