应急靶场(3)：Windows Server 2022 - Web2

下载好靶场（前来挑战！应急响应靶机训练-Web2）并搭建好环境，使用帐号密码（administrator / Zgsf@qq.com）登录靶机。

一、攻击者的IP地址（两个）？

进入phpStudy查看中间件日志，发现Nginx没有日志，Apache有日志。

将Apache的accesslog拷贝到Kali分析，使用命令cat access.log.1709164800 | grep -v "404\|js\|css"发现仅192.168.126.135存在访问记录。

访问的/system.php不像是正常网站会提供的地址，打开后发现是webshell。因此192.168.126.135是攻击者的IP地址。

使用命令compmgmt.msc打开计算机管理，在系统工具->事件查看器->Windows日志->安全中，点击筛选当前日志，筛选事件ID是4624的登录成功日志，发现192.168.126.129曾经登录过。

点击筛选当前日志，筛选事件ID是4625的登录失败日志，未发现日志，无法证明192.168.126.129有过爆破行为，无法证明是攻击者的IP地址。

翻看攻击者访问webshell的时间，刚好在192.168.126.129登录前后，疑似攻击者通过webshell创建操作系统帐号后，再进行登录。

点击筛选当前日志，筛选事件ID是4720的创建帐号日志，发现时间对得上，因此192.168.126.129是攻击者的IP地址。

二、攻击者的webshell文件名？

问题一时已发现webshell是system.php。

三、攻击者的伪QQ号？

打开文件资源管理器，在“快速访问”处发现“frp_0.54.0_windows_amd64”文件夹。

点进去后意外发现路径在QQ下面，原来FRP文件是通过QQ接收的，因此获得QQ号码：777888999321。

四、攻击者的伪服务器IP地址？

打开frp的配置文件“frpc.ini”获得攻击者服务器的IP地址：256.256.66.88。

五、攻击者的服务器端口？

打开frp的配置文件“frpc.ini”获得攻击者服务器的端口：65536。

六、攻击者是如何入侵的（选择题）？

1、不是web攻击。

从问题一拿到的web访问日志可以看出，攻击者并没有爆破管理后台的弱口令，而是直接登录了。登录后也没有任何POST 请求去上传webshell，而是直接访问webshell了。因此web不是攻击入口。

2、不是数据库攻击。

打开phpStudy启动Apache和MySQL，并查看数据库密码。

本机登录数据库后使用命令show variables like '%general%';查看是否开启日志记录、以及日志文件存储位置。发现并未开启日志记录，日志文件也不存在，因此无法判断数据库是否遭受攻击。

远程尝试登录数据库，发现登录失败，提示仅允许本地登录。因此判断攻击者无法远程攻击数据库。

3、是ftp攻击。

查看FTP日志，发现192.168.126.135存在大量登录失败记录，疑似爆破FTP弱口令。

最终登录成功，疑似成功爆破出FTP的弱口令。

上传了webshell文件system.php，由此判断FTP是攻击入口。攻击者先通过FTP弱口令漏洞获得FTP权限，然后上传webshell到网站路径下，再通过webshell创建RDP帐号，最终通过RDP登录操作系统。

4、不是rdp攻击。

在问题一时，筛选事件ID是4625的登录失败日志，未发现日志，说明不存在rdp爆破行为（或者攻击者删除了4625日志），攻击者不是通过攻击rdp拿下入口。

七、攻击者的隐藏用户名？

使用命令compmgmt.msc打开计算机管理，在系统工具->本地用户和组->用户下发现