当前位置: 首页 > news >正文

应急响应靶机练习-Web2

一、靶机介绍

这个靶机主要是通过暴力破解ftp,获取ftp账号后上传了php shell,获取shell后创建后门用户,以及做了一些端口转发操作。

靶机采用phpstudy,开启了ftp和web服务,但是要注意的是,一旦ftp开启,日志将会被复写,因此如果直接启用服务的话,会破坏日志这类重要的证据哦,因此溯源的第一要义就是先拷贝好数据。

二、溯源分析

(1)查看最近文件

可以发现网站目录、frp端口转发程序。

(2)查看日志

apache日志表明,192.168.126.135 在1235H-1300H对网站进行了目录探测,并在1305H左右访问了system.php多次,从访问记录来看,应该是通过别的入口上传的system.php,因为并没有访问到网站的后台界面。

查看ftp日志,发现了大量的192.168.126.135密码测试记录,最终成功了,成功登录后,上传了system.php

(3)文件分析

在网站根目录下,发现systen.php和3389.bat,对文件进行分析,

发现system.php的连接密码为hack6618,

3389.bat主要是开启远程桌面服务

(4)系统日志分析

远程登录日志分析,发现192.168.126.129远程登录该主机。

hack887$影子账户添加的日志记录

(5)qq号

根据最近访问记录,可以看到frp端口转发程序,查看配置可以看到服务器和端口。

三、结果

http://www.jsqmd.com/news/594708/

相关文章:

  • 2026年比较好的工业机器人位移传感器厂家精选合集 - 品牌宣传支持者
  • 东莞市SEO优化对网站收录有何影响_东莞市SEO优化的常见问题有哪些
  • 3D Gaussian Splatting环境配置避坑指南:从源码下载到可视化全流程
  • OpenClaw压力测试:千问3.5-9B连续执行100个任务的稳定性
  • 新手入门无人机飞控,别再傻傻分不清PIXHAWK、PX4和APM了
  • 如何避免MongoDB GridFS读取大文件时内存溢出
  • Go 网络编程超时控制方案
  • SQL分组Group By
  • CSS如何通过CSS变量实现组件颜色隔离_提升组件样式独立性
  • AI Agent商业模式创新:从工具提供商到解决方案服务商的转型
  • EZModbus:面向ESP32的异步无锁Modbus C++库
  • 15K Star 爆火!用大厂 PUA 话术逼 AI 干活,Claude 效率翻倍的黑色幽默工具
  • 告别‘玄学’调参:深入YOLOv11 Neck,用特征可视化理解你的检测器为何漏检小目标
  • 科研不秃头!谁还不知道这个零代码生信神器
  • 吴恩达机器学习第一天
  • Unity Fixed Joint 组件实战:如何用固定关节制作旋转木马效果(附完整代码)
  • JavaScript 中回调函数参数绑定与变量遮蔽问题详解
  • 避坑指南:数据埋点文档常见的5个致命错误(含神策/Sensors Data对比)
  • 嵌入式开发者必看:GitHub高星项目实战解析
  • 运放稳定性补偿实战:从Riso到双反馈,如何为你的MOSFET驱动电路‘降噪’
  • 新手避坑指南:用Boson NetSim 11模拟多子网互联,从连线到ping通的全流程复盘
  • 台达 PLC ES 与 3 台欧姆龙 E5CC 温控器通讯程序分享
  • OpenClaw性能对比:Phi-3-vision-128k-instruct在CPU/GPU环境下的任务表现
  • 避坑指南:ESP32-S3驱动ILI9488屏显示OV2640画面,这些时序和内存问题你遇到了吗?
  • 告别命令行恐惧:用Docker Compose 5分钟拉起一个开箱即用的Yapi服务
  • 在FreeRTOS上为Zynq CAN驱动添加任务间通信:一个实用的数据收发框架搭建
  • 爱毕业aibye推出六大专业学术平台,集成智能改写与高效写作功能,轻松提升科研效率。
  • 信息流优化师和网络营销之间有什么关系_信息流优化师和SEO专业哪个更有前景
  • 逻辑器件设计中的总线保持(Bus Hold)功能解析与实战案例
  • Fujitsu空调本地化控制:ESP32协议逆向与硬件隔离方案