靶场地址:第四章 windows实战-emlog · 玄机 - EDISEC
本次靶场要求提供的flag如下:
- 通过本地 PC RDP到服务器并且找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交;
- 通过本地 PC RDP到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;
- 通过本地 PC RDP到服务器并且分析黑客的隐藏账户名称,将黑客隐藏账户名称作为 FLAG 提交;
- 通过本地 PC RDP到服务器并且分析黑客的挖矿程序的矿池域名,将黑客挖矿程序的矿池域名称作为(仅域名)FLAG 提交;
Flag1
通过本地 PC RDP到服务器并且找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交
远程连接目标机器,可以看到桌面有PHPStudy,在网站管理中可以找到网站根目录
上传河马对网站根目录查杀webshell,发现存在冰蝎后门
C:\phpstudy_pro\WWW\WWW\content\plugins\tips\shell.php
打开webshell文件,key值和冰蝎默认值相同,说明使用的是默认密码rebeyond
,得到flag
flag{rebeyond}
Flag2
通过本地 PC RDP到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;
打开小皮,在底部可以看到上一次启动的是Apache程序
在小皮目录下找到Apache日志,其中有个文件大小比较大的,直接看这个
搜索上一题上传的webshell的访问日志,找到攻击者IP,拿到flag
flag{192.168.126.1}
Flag3
通过本地 PC RDP到服务器并且分析黑客的隐藏账户名称,将黑客隐藏账户名称作为 FLAG 提交;
使用cmd查看系统用户,只有默认用户存在
net user
在运行框输入compmgmt.msc
可以快速打开计算机管理页,在本地用户中可以看到存在隐藏用户
hacker138$
得到用户名,提交flag要去除美元符号
flag{hacker138}
Flag4
通过本地 PC RDP到服务器并且分析黑客的挖矿程序的矿池域名,将黑客挖矿程序的矿池域名称作为(仅域名)FLAG 提交;
说是存在挖矿程序,习惯性的先从CPU占用情况进行排查,发现存在一个SYSTEM权限的进程占用内存将近100%,猜测是不是植入了僵尸线程
看了下线程发现执行程序叫ntoskrnl.exe
,沙箱看没查杀到病毒,百度上搜是正常程序,后来又看了两台电脑的计划任务,发现都有这个系统空闲进程且CPU占用很高,难不成这个进程是用来分配剩余CPU资源的?
既然进程没排查到,查看网络连接也没看到有效信息,那么就手动去翻翻了。在黑客用户个人桌面目录下看到了挖矿程序,打包成zip提取出来避免误执行
直接在沙箱执行没看到有网络连接,直接解包看看,解包教程参考:逆向pyinstaller打包的exe程序获取源代码-CSDN博客,首先是将exe程序逆向成pyc字节码文件
然后将字节码文件解析成源代码,在里面可以提取到访问的域名,这个挖矿程序倒是挺简单,就是获取CPU是几核,然后创建与CPU核心数相同数量的进程,再重复请求挖矿域名,可以看出来就一个示例代码,实际没有挖矿的功能
flag{wakuang.zhigongshanfang.top}