Win10提示病毒和威胁防护由你的组织管理怎么办-百度经验 (baidu.com)

场景描述：

水哥是某公司的一名运维，某天他在日常巡检的过程中发现了异常，敏锐的他感觉到了事情的不妙，于是联系同事要到了你的电话，请你帮助他解决这个难题。

靶机用户和密码
用户：admin
密码：Aa123456

进入靶机桌面后运行phpstudy即可开启相关服务。

#环境编号：应急靶机02
#环境名称：Where-1s-tHe-Hacker-P2

1.最早的WebShell落地时间是？（时间题统一格式：2022/12/12/2:22:22）

flag{2023/11/11/0:30:07}

2.上题WebShell的连接密码是？

flag{pass}

3.CobaltStrike远程控制木马的文件名与落地时间是？（格式：ABC.exe,2022/12/12/2:22:22）

flag{huorong.exe,2023/11/15/7:45:47}

4.启用并添加进管理员组的用户与时间是？（格式：Username,2022/12/12/2:22:22）

flag{Guest,2023/11/11/0:45:59}

5.CobaltStrike木马被添加进计划任务的时间是？

flag{2023/11/15/8:02:20}

6.攻击者使用弱口令登录ftp的时间是？（日志审计部分）

flag{2023/11/11/1:08:54}

7.攻击者使用弱口令登录web管理员的时间是？

flag{2023/11/15/7:38:31}

8.攻击者查看上传回显路径的时间是？

flag{2023/11/15/7:38:53}

9.第二批WebShell的最早上传时间是？

flag{2023/11/15/7:40:10}

10.根据上题线索，WebShell开始通信的时间是？

flag{2023/11/15/7:42:36}

过程：

使用 D 盾扫描一下，发现很多 webshell，连接密码是 pass

去到木马所在的目录，发现木马都是一样的，按照时间排下序，找到最早的创建时间

在病毒和威胁防护里，扫描一下，出来一个木马

去事件查看器，过滤一下事件ID4732（加入管理员组），只有第一个的日期是靠近 webshell 落地的时间，并且来宾用户一般是不启用的

在\Microsoft\Windows\AppID\ 里的 Microsoft-SysnomCon发现计划任务是‘huorong.exe’

我们去找 ftp 的日志，在C:\phpstudy_pro\Extensions\FTP0.9.60\Logs\fzs-2023-11-11.log 里发现用户名 ftp 和密码****** 在登录

查看‘C:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1700006400’日志，在这里发现在爆破 密码，因为‘/admin.php’这个页面是登录页面，并且用户名和密码都是弱口令（admin:123456）

并且在日志里发现‘/index.php?mod=mobile&act=public&do=verify&beid=1’这个路径可以获取验证码，然后后面两条 302 的日志应该是在爆破用户名和 密码，后面一条 200 的日志应该是爆破成功

通过访问下面的路径‘/index.php?mod=site&do=file&act=public&op=local&beid=1&page=1&year=0&month=0’得到 webshell 的路径

我们尝试连接，发现可以成功连接

我们也可以从文件里看，我们可以看到木马有两批，第一批的 11 号，第二批是 15 号，直接看 15 号的最早的一个木马文件就可以知道上传时间了

在日志最后发现在访问 webshell

‘dtbt624BAt6Z44T.php’文件也是 webshell，并且有数据流的返回

为什么不是第一个访问 webshell 的时间，因为问题是通信，什么是通信，我认为就是有数据流的交换，第一个访问 webshell 的时间，虽然是 200 但是没有数据流的返回，所以不能认为是第一个访问 webshell 的时间是答案