简介：

第四章 windows实战-wordpress
rdp 端口 3389
administrator xj@123456

1.

请提交攻击者攻击成功的第一时间，格式：flag{YY:MM:DD hh:mm:ss}

用RDP连接上服务器，发现桌面由小皮，打开发现有apache和nginx，apache日志没有啥东西，nginx的日志有，老样子给他下载到本地分析。

理了下黑客攻击的逻辑，大概是这样的：登陆后台，利用主题编辑器（猜测）上传webshell，连接webshell执行命令，flag{2023:04:29 22:45:23}

‍

2.

请提交攻击者的浏览器版本 flag{Firgfox/2200}

无需多言，flag{Firefox/110.0}

‍

3.

请提交攻击者目录扫描所使用的工具名称

上面全是扫描的日志，后面这个就是工具的名称和版本，flag{Fuzz Faster U Fool}

‍

4.

找到攻击者写入的恶意后门文件，提交文件名（完整路径）

就是第一题分析的webshell，路径如下，flag{C:\phpstudy_pro\WWW\.x.php}

‍

5.

找到攻击者隐藏在正常web应用代码中的恶意代码，提交该文件名（完整路径）

上传D盾对网站目录做个审计，即可发现该文件，flag{C:\phpstudy_pro\WWW\usr\themes\default\post.php}

‍

6.

请指出可疑进程采用的自动启动的方式，启动的脚本的名字 flag{1.exe}

首先排查 C:\Users\Administrator\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup 目录，该目录为空

然后排查注册表 HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run ，还是没有

然后排查计划任务，依旧一无所获（**&！骂街了）

只能在常见的目录排查了（其实我又上了火绒剑也没扫出来），在 C:\Windows\ 目录下发现两个可疑文件，怎么会有bat文件呢

这个x.bat是启动这个360.exe程序，而360.exe直接被我的火绒杀掉…. ，所以 flag{x.bat} ，那么问题来了，从何而来的自启动呢）））存疑