1.下载此靶场,这份靶场来自知攻善防实验室的web1 靶场
靶场下载地址: 夸克网盘分享
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统。
2.胜利条件
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统通关条件:
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名(仅域名)
5.有实力的可以尝试着修复漏洞
3.靶场启动
直接下载,打开wmware就行 ,如果出现启动错误 请更新至17.5版本呢以上
2.解题步骤
2.1 查看已有的信息
界面图标只有三个,回收站 ,phpstudy及解题.exe 文件
2.2 网站后台是否还有后门
打开小皮,查看网站www文件夹 使用d盾进行搜索
在文件夹中 有个 文件存在后门 打开文件后 看到shell连接密码
2.3网站后台日志
找到了密码后 那我们查看网站的后台日志
发现很多连接的记录, 既然是连接shell了 那我们可以找一下ctrl + f 搜索一下嘛
那就找到ip地址 当然 在现实中 黑客肯定会使用代理 在进行 攻击 不可能只出现一个ip地址
2.4 找到远程登入的用户
拿到了shell 肯定得远程登入嘛 那我们就去事件管理器中找到远程登入情况嘛
查看远程连接情况的过程: 远程登入的事件id为1149
应用程序和服务日志 > Microsoft > Windows > TerminalServices- RemoteConnectionManager,右键单击“Operational”并选择“筛选当前日志”
2.5看看这个用户在电脑中做过什么操作
直接到此电脑中 全盘找这个用户的情况
在桌面中存在一个exe的软件
!别点!
点完之后电脑巨卡 cpu占用率直接往上飙 估计就是挖矿软件
2.6 分析软件 找到域名
这步我就不会了 大家可以去看一下 公众号 知攻善防实验室 里面的比我完整一点