Where-1s-tHe-Hacker-P2
Last Update:
Win10提示病毒和威胁防护由你的组织管理怎么办-百度经验 (baidu.com)
场景描述:
水哥是某公司的一名运维,某天他在日常巡检的过程中发现了异常,敏锐的他感觉到了事情的不妙,于是联系同事要到了你的电话,请你帮助他解决这个难题。靶机用户和密码
用户:admin
密码:Aa123456
进入靶机桌面后运行phpstudy即可开启相关服务。
#环境编号:应急靶机02
#环境名称:Where-1s-tHe-Hacker-P2
1.最早的WebShell落地时间是?(时间题统一格式:2022/12/12/2:22:22)
flag{2023/11/11/0:30:07}
2.上题WebShell的连接密码是?
flag{pass}3.CobaltStrike远程控制木马的文件名与落地时间是?(格式:ABC.exe,2022/12/12/2:22:22)
flag{huorong.exe,2023/11/15/7:45:47}
4.启用并添加进管理员组的用户与时间是?(格式:Username,2022/12/12/2:22:22)
flag{Guest,2023/11/11/0:45:59}
5.CobaltStrike木马被添加进计划任务的时间是?
flag{2023/11/15/8:02:20}
6.攻击者使用弱口令登录ftp的时间是?(日志审计部分)
flag{2023/11/11/1:08:54}
7.攻击者使用弱口令登录web管理员的时间是?
flag{2023/11/15/7:38:31}
8.攻击者查看上传回显路径的时间是?
flag{2023/11/15/7:38:53}
9.第二批WebShell的最早上传时间是?
flag{2023/11/15/7:40:10}
10.根据上题线索,WebShell开始通信的时间是?
flag{2023/11/15/7:42:36}
过程:
使用 D 盾扫描一下,发现很多 webshell,连接密码是 pass去到木马所在的目录,发现木马都是一样的,按照时间排下序,找到最早的创建时间
在病毒和威胁防护里,扫描一下,出来一个木马
去事件查看器,过滤一下事件ID4732(加入管理员组),只有第一个的日期是靠近 webshell 落地的时间,并且来宾用户一般是不启用的
在\Microsoft\Windows\AppID\ 里的 Microsoft-SysnomCon发现计划任务是‘huorong.exe’
我们去找 ftp 的日志,在C:\phpstudy_pro\Extensions\FTP0.9.60\Logs\fzs-2023-11-11.log 里发现用户名 ftp 和密码****** 在登录
查看‘C:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1700006400’日志,在这里发现在爆破 密码,因为‘/admin.php’这个页面是登录页面,并且用户名和密码都是弱口令(admin:123456)
并且在日志里发现‘/index.php?mod=mobile&act=public&do=verify&beid=1’这个路径可以获取验证码,然后后面两条 302 的日志应该是在爆破用户名和 密码,后面一条 200 的日志应该是爆破成功
通过访问下面的路径‘/index.php?mod=site&do=file&act=public&op=local&beid=1&page=1&year=0&month=0’得到 webshell 的路径
我们尝试连接,发现可以成功连接
我们也可以从文件里看,我们可以看到木马有两批,第一批的 11 号,第二批是 15 号,直接看 15 号的最早的一个木马文件就可以知道上传时间了
在日志最后发现在访问 webshell
‘dtbt624BAt6Z44T.php’文件也是 webshell,并且有数据流的返回
为什么不是第一个访问 webshell 的时间,因为问题是通信,什么是通信,我认为就是有数据流的交换,第一个访问 webshell 的时间,虽然是 200 但是没有数据流的返回,所以不能认为是第一个访问 webshell 的时间是答案
reward

