玄机——bulntarget-j-01
上线后首先快速定位网站目录位置phpstudy_pro。审计日志access.log有多份,我们审计修改日期最迟的那份。搜索关键词login可快速定位到登陆的文件名称FNeSOgYGkp.php。而phpstudy搭建的网站服务只有两个端口,随便交一下就可以得到木马文件上传端口为80。
将www文件夹打包到本地,火绒自动报毒显示api3.php为后门文件。注释中标明密码为Admin
查找到后缀前三位为173的日志时发现了对api3.php木马的POST记录。
192.168.112.123 - - [15/Nov/2024:11:01:00 +0800] "POST /api3.php HTTP/1.1" 200 1309
192.168.112.123 - - [15/Nov/2024:11:01:03 +0800] "POST /api3.php HTTP/1.1" 200 3585
192.168.112.123 - - [15/Nov/2024:11:01:07 +0800] "POST /api3.php HTTP/1.1" 200 521
攻击机地址即为上述。