应急响应靶机训练-Web1【题解】

前言

接上文,应急响应靶机训练-Web1。

此文为应急响应靶机训练-Web1【题解】篇

解题过程

视频版:

另外,师傅们可以关注一下我们的bilibili,以后跟应急响应相关的靶机都会在bilibili发布一份视频

应急响应靶机训练-Web1【题解】_哔哩哔哩_bilibili

解题方法不唯一,仅供参考。

打开该虚拟机

图片

点击开启此虚拟机

图片

开始查找线索,首先有PHP study,我们直接寻找相关web路径

图片

打开该目录,找到web目录

图片

D盾工具

图片

上传至服务器扫描,推荐使用集成化蓝队应急响应工具箱,附链接

蓝队应急响应工具箱v2024.1

找到相关路径

图片

发现已知后门

图片

图片

找到shell连接密码,并进行解密,发现为默认冰蝎密码rebeyond

图片

回到PHP study中,找到Apache的日志文件

图片

直接Ctrl+F搜索shell.php

找到黑客IP地址192.168.126.1

发现有大量爆破行为,猜测存在弱口令

图片

使用Windows日志一键分析功能

图片

查看远程桌面登陆成功日志

图片

发现未知用户名hack168$

图片

找到该用户文件夹位置,寻找蛛丝马迹

C:\Users\hack168$

图片

在桌面处找到位置程序,运行后cpu飙升,判别为挖矿程序,进行分析。

分析该文件

图片

该图标为pyinstaller打包,使用pyinstxtractor进行反编译

https://github.com/extremecoders-re/pyinstxtractor

图片

得到pyc文件

图片

使用在线pyc反编译工具,得到源码

https://toolkk.com/tools/pyc-decomplie

图片

得到矿池域名wakuang.zhigongshanfang.top

最后,整理答案,提交。

图片

黑客是如何攻击进来的?漏洞修复?

漏洞名称:emlog v2.2.0后台插件上传漏洞,有兴趣的师傅可以把phpstudy跑起来,自己复现一遍。

结尾

本次靶机为web-1,也是第一个,最简单的以后,后期我会加大难度,并以当天发靶机,次日发题解的形式,还请大家互相学习,关注公众号“知攻善防实验室”后台回复“交流群”,获取技术交流群链接。

  • 20
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值