前言
临近hw和实习投递,考虑到自己在应急响应这块有诸多不足,所以特地找来靶机前来学习。本次使用的知攻善防团队的应急响应靶机。
内容
前景需要:
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名(仅域名)
5.有实力的可以尝试着修复漏洞
思路
先用netstat排查外联
发现了一个可以的ip,暂时先不管。
我们围绕他这个要求,先来一步步的看攻击这的shell密码,那么首先肯定要找到这个shell文件。进入网站的根目录下。尝试搜索
结果想打开看看,直接被wd直接查杀了(😀),这也没有了shell也不知道咋分析了,就去看看了题解里面的内容。发现是冰蝎的原始密码rebeyond。
攻击者的ip这里没有厂商的设备,肯定是看日志文件的。利用shell文件
这里上下翻阅了以下,发现192.168.126.1的ip有大量的访问记录。对于位置用户我们可以,使用打开 cmd 窗口,输入 lusrmgr.msc 命令,查看是否有新增的账号,如有管理员群组的(Administrators)里的新增账户
当然这里针对隐藏用户,可以使用注册表查看
在这用户的地下发现了一个kuang.exe运行后发现cpu瞬间爆炸
这个还直接把这个主机干崩溃了
这个抓抓外联域名显然不行了,只能重启一下,逆向一下。发现了域名
总结
本次完成这个靶机还是有很多收获,将许多操作都自己手动操作了一下,也发现了光背面经而不去实践操作会导致很多问题。这里用到了分析日志,同时也是第一次反编译分析恶意软件。