应急响应-第四章 windows实战-wordpress
对于windows这方面能力还有点欠缺,磕磕绊绊总算是完成了
题目描述
第四章 windows实战-wordpress
rdp 端口 3389
administrator xj@123456第四章 windows实战-wordpress
rdp 端口 3389
administrator xj@123456步骤一
请提交攻击者攻击成功的第一时间,格式:flag{YY:MM:DD hh:mm:ss}
步骤二
请提交攻击者的浏览器版本 flag{Firgfox/2200}
步骤三
请提交攻击者目录扫描所使用的工具名称
步骤四
找到攻击者写入的恶意后门文件,提交文件名(完整路径)
步骤五
找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)
步骤六
请指出可疑进程采用的自动启动的方式,启动的脚本的名字 flag{1.exe}步骤一
请提交攻击者攻击成功的第一时间,格式:flag{YY:MM:DD hh:mm:ss}
步骤二
请提交攻击者的浏览器版本 flag{Firgfox/2200}
步骤三
请提交攻击者目录扫描所使用的工具名称
步骤四
找到攻击者写入的恶意后门文件,提交文件名(完整路径)
步骤五
找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)
步骤六
请指出可疑进程采用的自动启动的方式,启动的脚本的名字 flag{1.exe}&1
进入靶机查看phpstudy,发现是nginx,我们查看nginx日志,得到嘿客扫描的工具和其浏览器信息,然后第一次访问成功manage/welcome.php的时间就是攻击成功的时间 29/Apr/2023:22:45:23
往后翻发现可疑文件 .x.php
我们查看发现是php一句话木马
仔细看发现这里动了post.php和404.php
我们挨个查看,发现post.php有东西,是这里创建了 .x.php
然后要找在系统内自启动的文件,查找自启动的文件夹并未发现任何东西,注册表启动项也未发现东西,我们查看windows文件夹发现可疑文件360.exe和x.bat
查看x.bat确认是这个启动脚本,提交即可
这里就结束啦
版权所有:lzz0403的技术博客
文章标题:玄机-应急响应-第四章 windows实战-wordpress
文章链接:https://cnup.top/?post=111
本站文章均为原创,未经授权请勿用于任何商业用途
文章标题:玄机-应急响应-第四章 windows实战-wordpress
文章链接:https://cnup.top/?post=111
本站文章均为原创,未经授权请勿用于任何商业用途