下载好靶场(前来挑战!应急响应靶机训练-Web2)并搭建好环境,使用帐号密码(administrator / Zgsf@qq.com)登录靶机。
进入phpStudy查看中间件日志,发现Nginx没有日志,Apache有日志。
将Apache的accesslog拷贝到Kali分析,使用命令cat access.log.1709164800 | grep -v "404\|js\|css"
发现仅192.168.126.135存在访问记录。
访问的/system.php不像是正常网站会提供的地址,打开后发现是webshell。因此192.168.126.135是攻击者的IP地址。
使用命令compmgmt.msc
打开计算机管理,在系统工具->事件查看器->Windows日志->安全
中,点击筛选当前日志
,筛选事件ID是4624的登录成功日志,发现192.168.126.129曾经登录过。
点击筛选当前日志
,筛选事件ID是4625的登录失败日志,未发现日志,无法证明192.168.126.129有过爆破行为,无法证明是攻击者的IP地址。
翻看攻击者访问webshell的时间,刚好在192.168.126.129登录前后,疑似攻击者通过webshell创建操作系统帐号后,再进行登录。
点击筛选当前日志
,筛选事件ID是4720的创建帐号日志,发现时间对得上,因此192.168.126.129是攻击者的IP地址。
问题一时已发现webshell是system.php。
打开文件资源管理器,在“快速访问”处发现“frp_0.54.0_windows_amd64”文件夹。
点进去后意外发现路径在QQ下面,原来FRP文件是通过QQ接收的,因此获得QQ号码:777888999321。
打开frp的配置文件“frpc.ini”获得攻击者服务器的IP地址:256.256.66.88。
打开frp的配置文件“frpc.ini”获得攻击者服务器的端口:65536。
1、不是web攻击。
从问题一拿到的web访问日志可以看出,攻击者并没有爆破管理后台的弱口令,而是直接登录了。登录后也没有任何POST 请求去上传webshell,而是直接访问webshell了。因此web不是攻击入口。
2、不是数据库攻击。
打开phpStudy启动Apache和MySQL,并查看数据库密码。
本机登录数据库后使用命令show variables like '%general%';
查看是否开启日志记录、以及日志文件存储位置。发现并未开启日志记录,日志文件也不存在,因此无法判断数据库是否遭受攻击。
远程尝试登录数据库,发现登录失败,提示仅允许本地登录。因此判断攻击者无法远程攻击数据库。
3、是ftp攻击。
查看FTP日志,发现192.168.126.135存在大量登录失败记录,疑似爆破FTP弱口令。
最终登录成功,疑似成功爆破出FTP的弱口令。
上传了webshell文件system.php,由此判断FTP是攻击入口。攻击者先通过FTP弱口令漏洞获得FTP权限,然后上传webshell到网站路径下,再通过webshell创建RDP帐号,最终通过RDP登录操作系统。
4、不是rdp攻击。
在问题一时,筛选事件ID是4625的登录失败日志,未发现日志,说明不存在rdp爆破行为(或者攻击者删除了4625日志),攻击者不是通过攻击rdp拿下入口。
使用命令compmgmt.msc打开计算机管理,在系统工具->本地用户和组->用户下发现
本文分享自 OneMoreThink 微信公众号,前往查看
如有侵权,请联系 cloudcommunity@tencent.com 删除。
本文参与 腾讯云自媒体同步曝光计划 ,欢迎热爱写作的你一起参与!