HVV临近,看到几个应急响应靶场还不错,做做练练手

一、靶机简介

前景需要:安全设备有告警,请登录服务器系统排查,请你找出以下内容,并作为通关条件:

1.攻击者的IP地址(两个)?

2.攻击者的webshell文件名?

3.攻击者的webshell密码?

4.攻击者的伪QQ号?

5.攻击者的伪服务器IP地址?

6.攻击者的服务器端口?

7.攻击者是如何入侵的(选择题)?

8.攻击者的隐藏用户名?

相关账户密码:

用户:administrator

密码:Zgsf@qq.com

二、解题

先启动靶机的相关服务

看到该服务器运行的有Apache,首先找到并分析一下apache的日志文件

分析Apache日志发现有IP为192.168.126.135的攻击者执行目录扫描,但是未找到上传webshell成功日志信息,但是找到了疑似连接webshell的信息

在网站根目录下找到system.php,打开查看,确认为攻击者上传的webshell,文件名为:system.php,连接密码为:hack6618,删除webshell

上传logparser分析Windows日志,找到了攻击这创建的隐藏账户:hack887$,攻击IP为:192.168.126.129

删除用户的时候cmd命令删除失败,用户不属于此组,猜测可能是克隆管理员的隐藏账号

克隆账号:创建隐藏用户后,到注册表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中,把隐藏用户的F值改成administrator的F值,就可以在不加入管理员组的情况下,拥有管理员权限。攻击者通常会利用克隆账号的方式留下后门。排查克隆账号,可以到注册表\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names中,查看是否有隐藏用户(用户名后面是$),如果有,就看这个用户对应的F值和administrator对应的F值是否相同,如果相同,就是克隆账号。

打开注册表删除克隆账号,如果没有SAM的子目录,需要到HKEY_LOCAL_MACHINE→SAM→SAM,赋予完全控制权限

在文档中找到攻击者遗留下来的QQ登录痕迹,QQ号为:777888999321

在该QQ号文件夹下的FileRecv文件夹中发现攻击者使用的内网穿透工具frp

打开frpc.ini配置文件发现攻击者服务器ip为256.256.66.88,端口为65536

汇总信息:

IP:192.168.126.135、192.168.126.129

webshell文件名:system.php

webshell密码:hack6618

伪QQ号:777888999321

伪服务器地址:256.256.66.88

伪端口:65536

隐藏用户名:hack887$

运行解题,拿下