应急响应靶机练习-Web2

news2026/4/6 2:52:32

一、靶机介绍这个靶机主要是通过暴力破解ftp获取ftp账号后上传了php shell获取shell后创建后门用户以及做了一些端口转发操作。靶机采用phpstudy开启了ftp和web服务但是要注意的是一旦ftp开启日志将会被复写因此如果直接启用服务的话会破坏日志这类重要的证据哦因此溯源的第一要义就是先拷贝好数据。二、溯源分析1查看最近文件可以发现网站目录、frp端口转发程序。2查看日志apache日志表明192.168.126.135 在1235H-1300H对网站进行了目录探测并在1305H左右访问了system.php多次从访问记录来看应该是通过别的入口上传的system.php因为并没有访问到网站的后台界面。查看ftp日志发现了大量的192.168.126.135密码测试记录最终成功了成功登录后上传了system.php(3)文件分析在网站根目录下发现systen.php和3389.bat对文件进行分析发现system.php的连接密码为hack66183389.bat主要是开启远程桌面服务4系统日志分析远程登录日志分析发现192.168.126.129远程登录该主机。hack887$影子账户添加的日志记录5qq号根据最近访问记录可以看到frp端口转发程序查看配置可以看到服务器和端口。三、结果

本文来自互联网用户投稿，该文观点仅代表作者本人，不代表本站立场。本站仅提供信息存储空间服务，不拥有所有权，不承担相关法律责任。如若转载，请注明出处：http://www.coloradmin.cn/o/2487677.html

如若内容造成侵权/违法违规/事实不符，请联系多彩编程网进行投诉反馈，一经查实，立即删除！