记一次win的应急响应

1.请提交攻击者攻击成功的第⼀时间,格式:YY:MM:DD hh:mm:ss,⽐如:2023:01:01 01:01:0

第一步还是先查看日志文件

记一次win的应急响应_第1张图片

开始分析acc日志文件记一次win的应急响应_第2张图片

所以攻击成功时间就是

2023:4:29:22:44:38

2.请提交攻击者的浏览器版本

记一次win的应急响应_第3张图片

火狐浏览器的名字,就是他

Firefox/110.0

3.请提交攻击者⽬录扫描所使⽤的⼯具名称

记一次win的应急响应_第4张图片

fuzz攻击者,也在进行目录扫描,就是他

Fuzz Faster U Fool

4.找到攻击者写⼊的恶意后⻔⽂件,提交⽂件名(完整路径)

继续分析日志

记一次win的应急响应_第5张图片

很明显的命令执行,前面跟着文件名字.x.php,去电脑上搜索一下记一次win的应急响应_第6张图片

一打开www就有,输入绝对路径

C:\phpstudy_pro\WWW\.x.php

5.找到攻击者隐藏在正常web应⽤代码中的恶意代码,提交该⽂件名(完整路径)

记一次win的应急响应_第7张图片

查看后门文件,发现密码是x

记一次win的应急响应_第8张图片

而在日志里面执行的密码是cmd

这很不对劲,说明还有一个通过别的东西,传输对象给这个后门文件,往前看日志,它有没有给别的文件写东西,记一次win的应急响应_第9张图片

=,这个文件的嫌疑很大

md过去看了一下才发现,这个攻击者用错密码了,不过也是有重大发现,攻击者是通过编辑这个文件,任何将一句话写入到网站里面的,所以这个文件可以很明显的看到恶意代码记一次win的应急响应_第10张图片

C:\phpstudy_pro\WWW\usr\themes\default\post.php

6.请提交内存中可疑进程的名称

查看任务管理器的进程

记一次win的应急响应_第11张图片

360?没有在桌面上看到360文件

记一次win的应急响应_第12张图片

除了这个进程也没有360软件,他肯定是伪装成正常软件名字的恶意进程

记一次win的应急响应_第13张图片

也可以通过右键熟悉查看详细信息,发现和攻击者是同一天创建的

而且这个进程过一会就就不见了!

我在分析的时候就是做完前面的题目,在查看进程就没有看到他,重启之后才发现了他,,当你做题不知道怎么办的时候,不妨重启一下,或者刚拿到题目的时候就拍个快照恢复过去。

恶意进程确定

360.exe

7.请提交攻击者执⾏过⼏次修改⽂件访问权限的命令

记一次win的应急响应_第14张图片

这两个命令看不到,最简单的做法就是,拿去命令行运行一下看看是啥

记一次win的应急响应_第15张图片

webshell的就算调用系统命令最高权限也就是在www目录下,除非提权,她没有做提权操作,所以在这个目录下运行,然后看到回显是关于修改所有的,就是访问权限

记一次win的应急响应_第16张图片

这个也是修改文件访问控制列表的命令

所以答案就是两次

8.请指出可疑进程采⽤的⾃动启动的程序名(完整路径)

通常的恶意进程都是自启动项,我们用户也不会主动去启动恶意进程,所以基本上都是进化任务或者开机自动

xin+r启动命令输入,gpeidt.msc 打开组策略,然后点啊看iwindows设置,点开脚本,就是查看计划任务和开机自启动项的地方

记一次win的应急响应_第17张图片

这里就看到了一个开机自启动的任务,因为要绝对路径就把前面的路径也输入上

答案就是

C:\Windows\x.bat

fa

cai

你可能感兴趣的:(网络安全)