赞
踩
前来挑战!应急响应靶机训练-Web3_前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备-CSDN博客
(1)攻击者的两个IP
(2)攻击者隐藏用户名称
(3)攻击者留下的flag
(1)工具查杀webshell——文件名
(2)日志分析——攻击者IP地址
(3)系统用户排查——隐藏用户名
(4)系统操作排查——计划任务
(5)网站排查——攻击者遗留信息
启动靶机,账号密码:administrator/xj@123456(运行exe,拿到解题背景)
(1)D盾webshell查杀
(2)webshell(404.php)
(3)webshell(post-safe.php)
(1)apache日志
(2)日志分析工具分析
(1)C盘用户组
(2)控制面板
(3)D盾排查
(1)分析工具LastActivityView
工具连接:https://www.nirsoft.net/utils/computer_activity_view.html
查找webshell
(2)排查webshell上传过后系统所进行的操作
(3)Hacker执行计划任务
(4)计划任务管理器(找到可疑计划任务)
(5)排查可疑任务执行的程序
(6)根据路径找到执行程序
(1)小皮启动网站
(2)进入网站
(3)后台登录
(4)尝试弱口令,失败
(5)搜寻Z-Blog忘记密码解决办法
(官方解决方案:将重置文件上传至网站根目录下,直接访问即可修改密码)
(6)下载重置文件(下载完成后放到网站根目录下)
重置文件连接:https://update.zblogcn.com/tools/nologin.zip
(7)路径访问重置文件
(8)登录Hacker用户(排查各个功能点,观察是否有遗留信息)
(9)在用户管理处,找到了Hacker遗留的信息
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。