出题——XMCVE–邮件钓鱼 1

前言

第一次出这种钓鱼链接的应急响应靶机,对于邮件部分,采用的是讲故事的方式

本期故事纯属虚构,请勿当真

(彩蛋:本期有 WebShell 免杀过火绒的源码噢!!!)

应急响应

攻击者的两台服务器地址(克隆页面溯源)

打开 Foxmail 可以看到来往的邮件

读完所有邮件后理清楚本期故事(没看懂是做不出来题的噢)

在这封邮件中,Jason 说我们的源码被泄露了,要我上去看看并且登录试试

警惕性高的人应该能看出不对劲了吧,所以邮件中的 IP 就是第一台服务器

访问过去后可以看到与 PHPStudy 中搭建的网站是一样的

至于为什么 Jason 能克隆,是因为 H1ck 部署过在内网并且邮件告知了 Jason

随便输入内容提交发现提交到了另一台服务器上面,拿到第二个 IP

攻击者植入的 WebShell 密码(WebShell 查杀)

这里我给出三种方案,第一种是搜索关键目录名

第二种是查看项目源代码发现了 GitHub 地址

在 issue 中找到我提交的 CVE 漏洞,里面有验证图片可以看到上传路径

第三种则是 D 盾查杀,这里就不给图片了

来到 WebShell 所在位置,用火绒是扫不出来的

具体的免杀原理参考链接:https://duckpigdog.github.io/2026/04/29/WebShell%20%E5%85%8D%E6%9D%80%E4%B9%8B%E5%AD%97%E7%AC%A6%E4%B8%B2%E8%BF%90%E7%AE%97%20+%20%E5%8A%A8%E6%80%81%E8%B0%83%E7%94%A8/

密码就是 cmd

攻击者登录成功时间(RDP 溯源)

直接看日志

这里也推荐一款日志分析去看,也是可以的:https://github.com/Hackerchen716/blueteam-log-analyzer

攻击者修改的文件(可疑文件查找)

这个是最难的,需要做后面一题的时候才能找到

在初始化数据库的文件中看到注释(恶意栽赃)

攻击者创建的用户(Windows 隐藏用户)

lusrmgr.msc 中没有发现隐藏用户,基本排除所创建的用户是系统用户

那么就只剩服务类用户,由上一题可知网站是有数据库的,并且给了初始化文件

所以我们看初始化文件中有没有初始化的用户,再比对数据库中当前的用户,多的用户就是攻击者创建的了

找到了

CTF

攻击者最后发送的邮件

Jason RDP 登录后打开了邮箱给自己发送一封威胁邮件(因为环境问题没有配置 Jason 的邮箱服务器,所以这里发给了本地)

攻击者是谁

毫无疑问是 Jason,推断如下:

    1. 王鹏找到 H1ck 想花高价买下源码,但被拒绝
    1. 于是王鹏找到了同组的 Jason,Jason 动心了,于是装模做样的向 H1ck 道歉
    1. Jason 想要搞到源码,但是被 H1ck 给拒绝了,恼羞成怒
    1. 因为之前 H1ck 曾部署过项目在内网给 Jason 展示效果,所以 Jason 谎称源码泄露,克隆页面发送钓鱼链接给 H1ck 骗取账号密码
    1. 然后打 RCE,上传免杀 WebShell 进来读取了桌面的配置文件,发现初始密码为空
    1. RDP 空密码远控了 H1ck 的电脑,修改了 init_db.sql 以及伪造邮件栽赃陷害 H1ck
    1. 最后向导师举报 H1ck