前景需要:
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的shell密码:rebeyond
直接在网站根目录寻找shell文件,或者用d盾扫描网站根目录
2.攻击者的IP地址:192.168.126.1 时间:[26/Feb/2024:22:46:08 ]
在Apache的日志文件中寻找访问 /content/plugins/tips/shell.php 的ip
在日志中查看192.168.126.1做了什么?
疑似进行登录爆破
疑似进行上传压缩包文件,且可能是plugin(插件部分)的漏洞
3.攻击者的隐藏账户名称:hack168$
4.攻击者挖矿程序的矿池域名(仅域名)
wakuang.zhigongshanfang.top
查看进程,未发现cpu占用率超过100%,挖矿文件可能未做开机启动或者定时任务
在隐藏账户桌面找到挖矿文件
1.启动后查看外联地址,未找到外联地址
2.上传到沙箱后,未发现外联地址或者域名
3.对文件进行反编译,在文件查看域名
使用的python的版本应该大于3.8.0
pyinstxtractor地址:GitHub - extremecoders-re/pyinstxtractor: PyInstaller Extractor
使用网站python反编译 - 在线工具打开新生成的同名的文件kuang.pyc
5.有实力的可以尝试着修复漏洞
查看网站使用emlog搭建的,查看可能存在的漏洞
与前面的插件对应
漏洞详细信息
由前面的信息可以得出,可能是后台登陆后上传压缩包文件
猜测弱口令,登录后台
1.开启防火墙
2.修改后台弱口令admin
3.CVE-2023-44974 厂商已发布了漏洞修复程序,请及时关注更新:emlog (snow) · GitHub
608
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
