背景介绍
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统。
挑战内容
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名(仅域名)
解题过程
注:方法不唯一,仅供参考
打开虚拟机
发现有小皮,打开网站根目录进行排查
使用D盾或河马进行排查
定位到webshell文件
webshell密码为冰蝎的默认密码:rebeyond
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名(仅域名)
记得关闭病毒防护,否则webshell文件会被隔离
攻击者上传webshell文件,web应用日志文件中肯定会有记录,通过webshell文件名在日志中定位攻击者IP
最终最Apache的日志文件中,发现了文件shell.php的上传记录
日志中有大批量webshell上传记录,定位到攻击IP为192.168.126.1
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名(仅域名)
WIN+R打开运行界面,输入lusrmgr.msc打开本地用户和组,发现攻击者创建的隐藏用户
注:以$结尾的为隐藏用户
WIN+R打开运行界面,输入regedit进入注册表也可发现隐藏用户
net user无法发现
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名(仅域名)
使用net user [用户名] [密码]修改隐藏账户密码
切换到隐藏账户,在桌面发现可疑文件
运行后内存占用极高,应该是挖矿木马,看ico应该是应该是python文件,使用pyinstxtractor进行反编译
从pyinstaller提取出来的pyc文件并不能直接反编译,入口运行类共16字节的 magic
和 时间戳
被去掉了。需要手动添加,
打开任意.pyc文件,将第一行复制,添加到Kuang.pyc的头部
然后反编译成python文件
找到矿池域名
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名(仅域名)
攻击者视角
弱口令admin&123456登录管理后台
查看软件版本,搜索相关漏洞,发现2.2.0存在任意文件上传漏洞
网上找正常可上传的插件包,然后进行修改,插入webshell文件,并将zip包名称和webshell名称保持一致
上传zip包,访问目录
而后添加隐藏账户,上传挖矿木马。