当前位置:   article > 正文

Windows靶机应急响应(三)_应急响应 win 靶机 php修复

应急响应 win 靶机 php修复

靶机地址

前来挑战!应急响应靶机训练-Web3_前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备-CSDN博客

响应背景

(1)攻击者的两个IP

(2)攻击者隐藏用户名称

(3)攻击者留下的flag

响应流程总结

(1)工具查杀webshell——文件名

(2)日志分析——攻击者IP地址

(3)系统用户排查——隐藏用户名

(4)系统操作排查——计划任务

(5)网站排查——攻击者遗留信息

响应流程

启动靶机,账号密码:administrator/xj@123456(运行exe,拿到解题背景)

一、后门查杀

(1)D盾webshell查杀

(2)webshell(404.php)

(3)webshell(post-safe.php)

二、日志分析

(1)apache日志

(2)日志分析工具分析

三、系统用户排查

(1)C盘用户组

(2)控制面板

(3)D盾排查

四、系统操作排查

(1)分析工具LastActivityView

        工具连接:https://www.nirsoft.net/utils/computer_activity_view.html

        查找webshell

(2)排查webshell上传过后系统所进行的操作

(3)Hacker执行计划任务

(4)计划任务管理器(找到可疑计划任务)

(5)排查可疑任务执行的程序

(6)根据路径找到执行程序

五、网站排查

(1)小皮启动网站

(2)进入网站

(3)后台登录

(4)尝试弱口令,失败

(5)搜寻Z-Blog忘记密码解决办法

(官方解决方案:将重置文件上传至网站根目录下,直接访问即可修改密码)

(6)下载重置文件(下载完成后放到网站根目录下)

重置文件连接:https://update.zblogcn.com/tools/nologin.zip

(7)路径访问重置文件

(8)登录Hacker用户(排查各个功能点,观察是否有遗留信息)

(9)在用户管理处,找到了Hacker遗留的信息

声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/2023面试高手/article/detail/723588
推荐阅读
相关标签
  

闽ICP备14008679号