一、靶机介绍
前景需要:
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名
用户:
administrator
密码
Zgsf@admin.com
二、解题过程
第一题需要找到shell的密码
打开PHP study,找到web的物理路径,打开
使用D盾扫描,进行发现已知后门
打开webshell文件
找到shell连接密码,使用在线md5解密网站解密,得到rebeyond
输入答案,解题成功
需要寻找攻击者的ip地址,我们可以分析web网站的日志获得
打开日志文件,直接Ctrl+F搜索shell.php,找到攻击者的IP地址192.168.126.1
输入答案192.168.126.1
接下来需要找到攻击者的隐藏账户名称,我们可以直接查看D盾的克隆账号检测工具栏,分析隐藏账号hack168$
除了使用D盾外,我们还可以通过分析windows日志获取结果
使用APT-Hunter工具的powershell
日志收集器自动收集日志信息,将得到的日志解压
使用APT-Hunter.exe工具分析导出来的结果
APT-Hunter.exe -p C:\Users\Administrator\Desktop\logs\wineventlog -o Project1 -allreport
-p:提供包含使用powershell日志收集器提取的日志的解压路径
-o:输出生成项目的名称
查看终端服务登录sheet发现存在hack168$和Administrator用户登录靶机
查看日志里面的安全事件,发现创建用户hack168 和把 h a c k 168 和把hack168 和把hack168加入管理员组的日志,可以确认hack168$为攻击者的隐藏账户名称
将hack168$用户名提交,解题正确
在hack168KaTeX parse error: Undefined control sequence: \Users at position 19: …桌面发现一个可执行程序,`C:\̲U̲s̲e̲r̲s̲\hack168`
点击该文件执行,CPU和内存瞬间跑满,可以确认该文件为挖矿程序
分析该文件,该图标为pyinstaller打包
使用pyinstxtractor进行反编译
python pyinstxtractor.py Kuang.exe
得到pyc文件
使用在线pyc反编译工具,得到源码
https://tool.lu/pyc/
得到矿池域名:wakuang.zhigongshanfang.top
将答案提交,靶机攻破