应急响应靶机-挖矿事件(知攻善防实验室)

原创 已于 2024-11-19 17:20:25 修改 · 2.6k 阅读 · 23 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#网络安全

于 2024-11-19 17:19:19 首次发布

挑战地址

[hvv训练]应急响应靶机训练-挖矿事件

挑战内容

  1. 攻击者的IP地址
  2. 攻击者开始攻击的时间
  3. 攻击者攻击的端口
  4. 挖矿程序的md5
  5. 后门脚本的md5
  6. 矿池地址
  7. 钱包地址
  8. 攻击者是如何攻击进入的

相关账户密码
Administrator / zgsf@123

前期

首先打开靶场,发现他没有VMware tools,直接装一下,这样方便,就不用在远程连接了

解题

第一题

我们首先打开事件查看器,从里面选择windows日志中的安全

然后我们开始看事件ID为4625的事件(id4625是登录失败的)

我们可以看到他进行了大量的密码爆破

从而得到攻击ip为:192.168.115.131

第二题

直接先对时间进行排序然后ctrl+f搜索192.168.115.131,得到最初攻击开始的时间

2024-05-21 20:25:22

第三题

由于他的攻击ip就是对我们3389端口进行账号密码的爆破,所以攻击者攻击的端口是3389

第四题

打开任务管理器,我们发现一个进程占用很高的应用

我们也可以去网上搜一下这个应用(xmrig挖矿病毒)

打开cmd使用certutil -hashfile xmrig.exe MD5

得到md5:a79d49f425f95e70ddf0c68c18abc564

第五题

下个Autoruns借助工具找一下,好好好打开就一个红的

去文件地址看一下

打开cmd使用certutil -hashfile systems.bat MD5

得到md5:8414900f4c896964497c2cf6552ec4b9

第六题和第七题

回到挖矿软件那边我们看到config.json,然后我们打开,发现了矿机的url:c3pool.org

打开网站,在钱包位置输入user里面的内容

我们得到了钱包的地址

4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

第八题

根据从攻击者通过暴力破解密码为开端进行了一系列的操作,由此我们可以得出攻击者是通过暴力破解

完结

注意:md5还是要大写

应急响应靶机——实验室
m0_65712192的博客
04-09 2137
应急响应靶机WP大全---实验室
Windows挖矿事件应急响应
qq_48904485的博客
07-11 1198
机房运维小陈,下班后发现还有工作没完成,然后上机器越用越卡,请你帮他看看原因。挑战题解:击者的IP地址击者开始击的时间击者击的端口挖矿程序的md5后门脚本的md5矿池地址钱包地址击者是如何击进入的。
实验室-应急响应靶场(Linux2)
最新发布
qq_66367305的博客
09-18 853
摘要:通过分析服务器入侵事件,发现击者IP为192.168.20.1,修改管理员密码为Network@2020,首次Webshell连接路径为index.php?user-app-register,密码为Network2020。击者上传version.php木马文件,并在alinotify.php和环境变量中隐藏flag2和flag3。排查中发现击者关闭火墙、修改SELinux模式、创建隐藏目录等操作,最终通过数据包分析获取flag1。完整解题过程涉及日志分析、密码解密、文件排查等安全检测手段。
应急响应靶场-Easy溯源(实验室
qq_42421872的博客
11-20 1200
开始我以为击者会在那两个网站中内容里面留下自己的邮箱,没想到是通过GitHub溯源邮箱。
应急响应——靶场实践
热门推荐
weixin_46601374的博客
04-21 1万+
唉,我可算直到值守每天12小时看警报是多么怨种的一工作,本以为该结束了,结果又加了一天!!!! 还好我没放弃自己,一直在自学东西(也不是我愿意的,这也不是没有办法嘛,大家都太卷了) 那就自学了学应急响应。不得不说,大佬们是真好呀,我才在日报里说我刚过完应急响应识,梳理出流程,就有大佬给我发来了——三个靶场,够我挺过这难熬的两天了。 嘿嘿不能辜负大佬的期望,咱就好好表现吧 目录 先搭个靶场 应急响应的过程 排查网络连接 排查历史命令 排查后门账户 查看特权账户 ...
应急响应靶场
weixin_44770698的博客
07-29 1063
应急响应靶场
应急响应靶场(近源渗透OS-1、挖矿事件
weixin_64815500的博客
06-18 2841
公众号应急相应靶场练习之 近源渗透os-1以及挖矿事件的题解随笔
应急响应靶机训练-挖矿事件
weixin_58609150的博客
11-03 1827
机房运维小陈,下班后发现还有工作没完成,然后上机器越用越卡,请你帮他看看原因。靶机账号密码。
Web1应急靶机笔记--详解
LINGX5的博客
08-08 2320
这是一台实验室应急响应靶机,方便大家练习一下应急响应的流程和操作。靶机的前景概述:前景需要:小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:1.击者的shell密码2.击者的IP地址3.击者的隐藏账户名称4.击者挖矿程序的矿池域名用户:密码靶机地址提取码:1gs21、我们先是用D盾对phpstudy的主目录进行了扫描,发现了一个webshell脚本shell.php。
应急响应靶机训练-Web1
m0_74190241的博客
02-26 1474
应急响应靶机练习
应急响应-挖矿事件
风依旧的博客
12-10 1074
## 声明! **学习靶机来自**​**实验室****公众号,有兴趣的师傅可以关注一下,如涉及侵权马上删除文章** **笔记只是方便各位师傅的学习和探讨,文章所提到的网站以及内容,只做学习交流,其他均与本人无关,切勿触碰法律底线,否则后果自负!!!!**
应急响应靶场练习-Web篇(实验室
weixin_64815500的博客
06-03 2738
出现告警,直接工具一键日志分析或者手动日志分析查看一下是否有登录成功的信息。如果有的话记录ip、时间和路径,直接上D盾等webshell扫描工具排查异常账户,控制页面、net user、注册表sam排查影子用户其shell文件或者log查找关键信息如连接密码等常规D盾,中间件日志分析,工具远程登录日志分析等排查查看计划任务taskschd.msc,如果有找到执行的程序/路径去网站网页下面寻找信息。
实验室 | Windows 应急响应靶机 — Web 1
Blue17 の 小窝
05-22 1441
看来上一阶段我们推测失败,击者确实是爆破出了后台的一个管理员账户,且该账户拥有弱口令,直接进行的登录,那么我们要想继续溯源,要么去找我们亲爱的运维,要管理员账号密码(可惜我们没有运维),要么自己爆破,复现渗透流程。如上,可以看到,靶机上通过 EMLOG 搭建了一个个人的 Web 站点。击者上传了 WebShell 后肯定是要访问的,而这些访问记录就会被记录在 Web 日志中,所以接下来,我们只要去找哪个 IP 访问了 system.php,我们就道,谁是击者了。肯定是先确定一个值呀,比如,用户名。
实验室 | Windows 应急响应靶机 — Web 2
Blue17 の 小窝
05-23 1326
如上,通过 ls 命令,我们发现了靶机的 FTP 服务根路径与其 Web 服务根路径疑似是同样的,而且其 Web 根路径上还是 WordPress 的内容,而 WordPress 又是采用的 PHP 编写的,这证明了啥?如上,谁登录过计算机,一目了然,克隆账号就没这个顾虑,它登录的直接是 Administrator 的桌面,就是如果靶机的 Administrator 也同时进行登录,会出现顶号的情况。如上,轻轻松松就扫描出来,但描述说的是 “隐藏账号”,而不是 “克隆账号”。OK,下面开始应急推理。
应急响应靶机练习-WindowsServer挖矿
m0_74631795的博客
03-16 1570
如果存在挖矿程序,cpu、gpu、内存啥的使用率会比较高,crtl+shift+esc打开任务管理器查看使用情况,发现存在一个程序占用内存较多(ps:这个的占用情况跟设置的虚拟机配置有关,关注相对占比即可,无需关注绝对占比)吐槽:这个程序如果输入一次错误,直接退出了,又得重新从头输入一遍,还是MD5需要输入大写,也没有明确的提示。没有发现该服务器存在web服务,可能是通过rdp远程登录进来的,需要查看日志确认。(ps:20:17分的记录没看到 ip,应该不是破解的日志,要看25分的记录)
[网安靶场] 蓝队应急响应靶场 —— 实验室 · 靶场笔记合集
Blue17 の 小窝
05-22 1793
实验室” 的应急响应靶场是以虚拟机镜像形式发布的实战演练环境,用户可以通过从官方网盘中下载后在本地通过 VMware 进行部署运行,模拟真实溯源环境。实验室 —— Windows 应急响应靶机 — Web 2 —— 🚩 FTP入侵 + Tencent Files 溯源。实验室 —— Windows 应急响应靶机 — Web 1 —— 🚩 pyinstaller 反编译为 py 文件。0x01:应急响应靶场 —— 靶场初识。0x01:应急响应靶场 —— 靶场初识。
【Try to Hack】挖矿靶场应急响应
开心星人的博客
08-16 1030
进程查杀是一个危险操作,所以可以考虑先暂停进程,看看是否符合预期,再决定是否杀死进程。需要注意的是,即使暂停了进程,该进程的网络连接不见得会断,一般情况下无法发送和接收数据。打开任务管理器,点击详细信息标签。randomx: 包含RandomX算法的配置信息,包括初始化、模式、缓存等。cpu: 包含CPU相关的配置信息,如是否启用CPU挖矿、使用大页、优先级等。http: 包含HTTP服务器的配置信息,包括主机地址、端口号、访问令牌等。pools: 包含矿池的配置信息,包括矿池的URL、用户名、密码等。
应急响应靶机训练-近源渗透OS-1:实验室
sudamasami的博客
05-08 350
前景需要:小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。3.击者使用的限速软件的md5大写。2.击者的内网跳板IP地址。4.击者的后门md5大写。1.击者的外网IP地址。5.击者留下的flag。
实验室 | Linux 应急响应靶机 — Linux 1
Blue17 の 小窝
07-11 976
0x04:参考资料应急响应靶机-Linux(1)为保证每位安服仔都有上手的机会,不做理论学家,增加动手经验,可前来挑战应急响应靶机0x01:应急响应 —— 题目环境介绍0x0101:应急响应靶场 — 场景导入小王急匆匆地找到小张,小王说 "李哥,我 dev 服务器被黑了,快救救我!!”(短短一句话,来了三个人物)。挑战内容如下:黑客的 IP 地址遗留下的三个 flag0x0102:应急响应靶场 — 环境导入。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值