应急响应靶机-Web1 (知攻善防实验室)

目标

小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕

皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件:

夸克网盘分享

1.攻击者的shell密码

2.攻击者的IP地址

3.攻击者的隐藏账户名称

4.攻击者挖矿程序的矿池域名(仅域名)

5.有实力的可以尝试着修复漏洞

环境配置

进入靶机,打开小皮面板,启动网站

Webshell

D盾查杀网站根目录,发现后门文件shell.php

打开文件,看到连接密码,rebeyond是冰蝎默认连接密码

查看apache日志文件,查找shell.php,可以断定192.168.126.1就是攻击IP

打开攻击者访问日志里的路径,应该是进行了用户名密码爆破

通过弱口令进入,随后上传了shell.php

隐藏账户

直接在控制面板或注册表查看账户信息

挖矿程序

在攻击者家目录的桌面上发现可疑应用程序

该图标为pyinstaller打包,反编译

GitHub - pyinstxtractor/pyinstxtractor-ng: PyInstaller Extractor Next Generation

得到pyc文件

在线反编译pyc,得到源码

在线Python pyc文件编译与反编译

# Visit https://www.lddgo.net/string/pyc-compile-decompile for more information
# Version : Python 3.8

import multiprocessing
import requests

def cpu_intensive_task():
    
    try:
        requests.get('http://wakuang.zhigongshanfang.top', 10, **('timeout',))
    finally:
        continue
        continue

    continue

if __name__ == '__main__':
    cpu_count = multiprocessing.cpu_count()
    processes = (lambda .0: [ multiprocessing.Process(cpu_intensive_task, **('target',)) for _ in .0 ])(range(cpu_count))
    for process in processes:
        process.start()
    for process in processes:
        process.join()

确定挖矿域名为 wakuang.zhigongshanfang.top

攻击分析复现

访问web,看到网站是由emlog搭建

登录口,弱口令进入  admin/123456

这里存在一个nday利用: Emlog Pro 任意文件上传漏洞(CVE-2023-44974)

扩展处存在插件上传功能

上传a.zip,压缩包里面写入后门a.php

可以看到成功上传

使用webshell管理工具连接

当前为administrator权限

  • 4
    点赞
  • 11
    收藏
    觉得还不错? 一键收藏
  • 1
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值