題目：

前景需要：小李在某單位駐場值守，深夜12點，甲方已經回家了，小李剛偷偷摸魚后，發現安全設備有告警，于是立刻停掉了機器開始排查。

這是他的服務器系統，請你找出以下內容，并作為通關條件：

攻擊者的IP地址（兩個）？
攻擊者的webshell文件名？
攻擊者的webshell密碼？
攻擊者的偽QQ號？
攻擊者的偽服務器IP地址？
攻擊者的服務器端口？
攻擊者是如何入侵的（選擇題）？
攻擊者的隱藏用戶名？

相關賬戶密碼 用戶:administrator 密碼:Zgsf@qq.com

解題：

攻擊者的IP地址（兩個）？

直接打開審日志，看了一圈，發現上面光目錄掃描，往下看發現存在了一個system.php的文件，有點可疑

用D盾掃描，可疑文件ststem.php

打開

那么攻擊者的ip地址就出來了

192.168.126.135

先看看有沒有隱藏用戶

查看注冊表編輯器

發現隱藏用戶hack887$

在日志查看器中查看有沒有創建這個用戶的ip地址

計算機管理>Windows日志>安全

第二個ip地址192.168.126.129

攻擊者的webshell文件名？

?system.php

攻擊者的webshell密碼？

hack6618

攻擊者的偽QQ號？

偽qq號 777888999321

攻擊者的偽服務器IP地址？

FileRecv文件夾內為接收的文件，frp 內網穿透工具，查看配置文件frpc.ini

偽服務器ip256.256.66.88

攻擊者的服務器端口？

端口65536

攻擊者是如何入侵的（選擇題）？

FTP 服務日志記錄顯示，存在大量登錄失敗的情況，攻擊者使用相同 IP 地址進行暴力破解，試圖通過猜測用戶名和密碼組合來獲取訪問權限。查看 FTP 日志路徑 “C:\phpstudy_pro\Extensions”，發現攻擊者還搜索后門文件，可能是通過 FTP 服務上傳的，從而進一步判斷攻擊者是通過 FTP 服務入侵的。

FTP 服務入侵

攻擊者的隱藏用戶名？

hack887