应急响应靶机-Web2(知攻善防实验室)_web2 1.攻击者的ip地址(两个)? 2.攻击者的webshell文件名? 3.攻击者的webs

挑战内容

小李在某单位驻场值守，深夜12点，甲方已经回家了，小李刚偷偷摸鱼后，发现安全设备有告警，

于是立刻停掉了机器开始排查。

这是他的服务器系统，请你找出以下内容，并作为通关条件：

夸克网盘分享

用户:administrator

密码:Zgsf@qq.com

1.攻击者的IP地址（两个）？

2.攻击者的webshell文件名？

3.攻击者的webshell密码？

4.攻击者的伪QQ号？

5.攻击者的伪服务器IP地址？

6.攻击者的服务器端口？

7.攻击者是如何入侵的（选择题）？

8.攻击者的隐藏用户名？

Webshell

D盾扫描根目录发现后门文件

查看apache日志，攻击者(192.168.126.135)进行了目录扫描，登录wp-admin后台，上传了后门

打开后门文件，看到连接密码为hack6618

隐藏账户

使用Log Parser分析工具 查看远程登录成功日志

发现账户hack887$   IP地址为192.168.126.129

命令行删除用户失败

控制面板无此用户

猜测该用户为克隆administrator隐藏用户，注册表查看该用户，直接删除

伪QQ号

在文档里发现Tencent Files，可能使用通讯工具，伪QQ号为777888999321

攻击者伪服务器IP，端口

在FileRecv文件夹下发现frp工具

查看配置文件frpc.ini，找到伪服务器IP：256.256.66.88，端口：65536

总结

攻击者IP地址：192.168.126.135         192.168.126.129

伪QQ号：777888999321

伪服务器IP地址、端口：256.256.66.88:65536

隐藏用户名：hack887$

webshell：system.php         连接密码：hack6618