第四章-Windows实战-Wordpress

N1Rvana included in 应急响应

2024-06-05 About 100 words One minute - views

Contents

0x00 环境分析

1
2
3


rdp 端口 3389  
administrator xj@123456  
phpstudy  

0x01

1、请提交攻击者攻击成功的第一时间
日志存储位置C:\phpstudy_pro\Extensions\Nginx1.15.11\logs\access.log
黑客一直在爆破后台，从最后一个POST登陆请求之后，访问/manage/welcome.php就返回200了
所以时间是29/Apr/2023:22:45:23
flag{2023:04:29 22:45:23}
2、请提交攻击者的浏览器版本
flag{Firefox/110.0}
3、请提交攻击者目录扫描所使用的工具名称
在日志中，发现扫描器特征
flag{Fuzz Faster U Fool}
4、找到攻击者写入的恶意后门文件，提交文件名
使用D盾扫描一下
flag{C:\phpstudy_pro\WWW\.x.php}
5、找到攻击者隐藏在正常web应用代码中的恶意代码，提交该文件名
同上，已经在D盾中显示出来
flag{C:\phpstudy_pro\WWW\usr\themes\default\post.php}
6、请指出可疑进程采用的自动启动的方式，启动的脚本的名字
查看自启动文件目录
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
并无可疑文件，接下来查看Temp目录和Windows目录
在Windows目录下，发现可疑文件
x.bat启动了360.exe
将360.exe上传微步看看，发现是木马
flag{x.bat}