一、前言
靶机可以用玄机的,也可以在公众号下载,这里我选择用自己下载的,感谢划水但不摆烂提供的资源
题目下载地址:https://pan.baidu.com/s/14OPvxDgsEsY-O3e34K2FUw?pwd=2024
划水应急工具包:https://pan.baidu.com/s/1dwBMRQO3TUEMx8FWVeJLew?pwd=ltja
服务器账号密码 admin Aa123456
进去后运行phpstudy开启相关服务
因为玄机的题目是从靶机内部题目挑选的,不完整,因此本文分两部分
二、索引
三、玄机题目
步骤#1
最早的WebShell落地时间是(时间格式统一为:2022/12/12/2:22:22);
上传D盾到目标机器,把C:\phpstudy_pro\WWW目录放入D盾扫描
发现大量WebShell文件,点进去C:\phpstudy_pro\WWW\attachment\php\2023\11,按时间排序,找到最早的WebShell落地时间即可
flag{2023/11/11/0:30:07}
步骤#2
黑客最早的WebShell密码是多少,将WebShell密码作为Flag值提交;
用记事本打开WebShell文件,找到连接密码
flag{pass}
步骤#3
CobaltStrike木马被添加进计划任务的时间是
win+r输入taskschd.msc打开任务计划程序,找到\Microsoft\Windows\AppID\,查看计划任务,发现有个可疑任务,在每天9:50自动触发,查看启动程序
但是这个huorong.exe我怎么找都找不到,网上百度了一下,发现别人也找不到,最后查看官方WP确定了这是个木马文件,但是不知道什么原因找不到了
然后我们导出该文件,用浏览器打开
成功得到CobaltStrike木马文件的修改时间
flag{2023/11/15/8:02:20}
步骤#4
黑客启用并添加进管理员组的用户与时间是 答案格式:Username,2022/12/12/2:22:22);
用D盾检测用户账号,发现Guest被启用并添加进管理员组
cmd打开输入net user guest查看guest的修改时间
flag{guest,2023/11/11/0:45:59}
步骤#5
攻击者使用弱口令登录ftp的时间是
打开C:\phpstudy_pro\Extensions\FTP0.9.60\Logs查看FTP的登录日志
总共三个,一个个点进去看看,发现第二个有问题
成功得到攻击者登录ftp的时间
flag{2023/11/11/1:08:54}
步骤#6
攻击者使用弱口令登录web管理员的时间是
这里我们主要审计Apache的日志,打开C:\phpstudy_pro\Extensions\Apache2.4.39\logs,审计access.log.1700006400
题目问的是攻击者使用弱口令登录web管理员的时间,我们可以尝试用弱口令自己爆破网站,然后抓取登录成功的包,在日志里面进行匹配,就可以找到攻击者的登录时间
打开浏览器输入127.0.0.1/index.php,然后点击上一级,回到首页
用弱口令字典爆破即可,不限方法,爆破得到账号为admin,密码为123456,然后登录抓包
重新回到日志,ctrl+f搜索index.php?mod=site&act=manager&do=main&beid=1
成功得到攻击者登录后台管理页面的时间
如果你不想爆破网站,直接分析日志也可以,一般情况下登录成功会有302跳转,我们可以直接筛选302跳转,并根据日志特征进行匹配
可以看到URI里面包含manager,通过上下文分析,可以确定这是登录成功的跳转页面,不过想更精确的话还是第一种方法好
flag{2023/11/15/7:38:31}
四、靶机内部题目(除去相同题目)
步骤#7
CobaltStrike远程控制木马的文件名与落地时间是?(答案格式:ABC.exe,2022/12/12/2:22:22)
这题我用绿盟D-Eyes扫了很久都没扫出来,在安全中心的隔离区也没找到,不知道什么原因,查找计划任务里面的木马路径也没有
一般情况下遇到这种题目,我们用安全工具扫描就可以,例如火绒、绿盟D-Eyes等,但是这里不知道为什么电脑找不到这个木马
这里直接给出官方的答案
huorong.exe,2023/11/15/7:45:47
步骤#8
攻击者查看上传回显路径的时间是?
攻击者上传木马之后,需要知道文件被上传到哪里,这时我们从攻击者登录后台管理员账号的时间之后开始审计日志
这里可以看到,在一大波注入攻击之后出现一个文件查询的URI,猜测是显示文件路径的,我们粘贴到网页执行(先登录网站)
这些参数的URL就是木马文件路径,可以尝试蚁剑连接验证
确定是木马文件,成功得到攻击者查看上传回显路径的时间
2023/11/15/7:38:53
步骤#9
第二批WebShell的最早上传时间是?
前面我们知道了木马的回显路径,因此可以在该路径上进行分析,打开C:\phpstudy_pro\WWW\attachment\2023\11,然后按时间排序,可以看到木马的上传时间分两个时间段,一些是2023/11/11,另一些是2023/11/15
打开15号最早的文件验证,确定是木马文件
右键打开属性,获取具体时间
当然如果想稳妥的话还是分析日志文件好,打开C:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1700006400,筛选出状态码为200的日志记录进行分析
可以看到这里攻击者采用了SSRF攻击,通过在inc_config.php写入木马,让网站去fetch这个文件并保存在本地,然后通过webshell连接并控制网站,因此第二批WebShell的最早上传时间就是这个
2023/11/15/7:40:10
步骤#10
根据上题线索,WebShell开始通信的时间是?
沿着上面的日志记录继续往下分析,发现可疑记录
可以看到发送POST请求,与木马文件进行交互,打开文件验证一下
因此WebShell开始通信的时间就是这个
2023/11/15/7:42:36
五、靶机内部题目答案
这是靶机内部答题.exe的答案
六、参考
特别鸣谢
划水但不摆烂:https://mp.weixin.qq.com/s/4PQ5TaBUUpW_9hkm-kue1Q
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
