知攻善防靶场-应急响应-Web2

UWI Lv4
  2025-11-11 23:14:04 2025-11-11 23:14:04 Created   2025-11-14 10:50:22 2025-11-14 10:50:22 Updated      

挑战内容

前景需要:

小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件:

1.攻击者的shell密码

2.攻击者的IP地址

3.攻击者的隐藏账户名称

4.攻击者挖矿程序的矿池域名(仅域名)

5.有实力的可以尝试着修复漏洞

攻击者的shell密码

既然是shell 那就直接掏出d盾开扫

image-20251111232032626

image-20251111232052139

webshell的密码:hack6618

攻击者的IP地址

既然是webshell 那必然要查看一下日志文件看看哪个ip连的webshell

很轻易的发现了一个ip:192.168.126.135

image-20251111232618555

还缺一个ip

image-20251111232638471

但是日志文件里面就只有这一个ip了

于是我猜测是有后门 然后用另一个ip连的后面

用工具快速看一下 发现确实有一个后面账户

image-20251111233352558

rdp记录看看 的果然找到了另一个ip

image-20251111233537428

攻击者的QQ号?

qq号存在这里

C:\Users\Administrator\Documents\Tencent Files

image-20251112000526425

攻击者服务器ip以及伪端口

用时间区间法观察被攻陷期间的所有可疑文件

image-20251111235358607

找到frp

image-20251111235341624

1
2
3
[common]
server_addr = 256.256.66.88
server_port = 65536

系统攻破点

那么最初的突破口是哪里呢?这个webshell是如何上传上去的呢?

我一开始以为是通过wordpress站点的nday打进去的 后来发现不对

因为从第一次出现system.php这个webshell 之前的请求路径来看,对方似乎还是在爆破,并没有找到有效合理的upload文件的地方或者是rce的入口 也就是说这个webshell是从其他地方传过来的

image-20251112003956622

其实phpstudy还有和ftp服务 看看他的服务日志

image-20251112003209807

可以看到是admin的账号被爆破成功了

我们上ftp的文件看看这个用户的密码

image-20251112003508827

cmd5 尝试爆破

可以看到已经查询到这个md5哈希所对应的明文了所以就是通过ftp爆破进行登陆的

image-20251112003446216

  • Title: 知攻善防靶场-应急响应-Web2
  • Author: UWI
  • Created at : 2025-11-11 23:14:04
  • Updated at : 2025-11-14 10:50:22
  • Link: https://nbwsws.github.io/2025/11/11/应急响应/应急响应靶机训练-Web2/
  • License: This work is licensed under CC BY-NC-SA 4.0.
Comments
On this page
知攻善防靶场-应急响应-Web2
  1. 攻击者的shell密码
  2. 攻击者的IP地址
  3. 攻击者的QQ号?
  4. 攻击者服务器ip以及伪端口
  5. 系统攻破点