安服 - web1靶机应急响应

最新推荐文章于 2024-06-09 21:19:05 发布
最新推荐文章于 2024-06-09 21:19:05 发布
阅读量531 收藏 10
点赞数 9
文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_73648490/article/details/136486860
版权

*声明:*请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。合法渗透,本文章内容纯属虚构,如遇巧合,纯属意外。

前言

该环境是知攻善防新推出的应急响应靶机Web1靶机

前景需要:

小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件:

1.攻击者的shell密码

2.攻击者的IP地址

3.攻击者的隐藏账户名称

4.攻击者挖矿程序的矿池域名(仅域名)

5.有实力的可以尝试着修复漏洞

一.总体思路

我们先来复习一下应急响应的思路

应急响应的标准流程是: 响应 阻断 分析 溯源 加固
首先响应则是判断是否为真实攻击,若为真实攻击,则保护现场,进行信息收集,然后迅速进行断网处理,对核心资产进行加固,进行阻断。接下来则是分析,端口外联,日志,马的查杀,bash_history,隐藏后门,隐藏用户,cpu,进程等各方面进行综合分析。溯源则是根据拿到的ip或者病毒木马等样本沙箱查过得到的信息进行ip反查,并分析漏洞产生的原因,分析攻击利用链,根据对应的攻击利用方式对web应用或者主机进行加固。

需要工具

d盾
pyinstaller打包的exe文件反编译工具
https://github.com/extremecoders-re/pyinstxtractor
在线pyc反编译工具
https://toolkk.com/tools/pyc-decomplie

二.解题思路

image-20240304120708726

1.获得shell密码

netstat -ant

image-20240304120751503

tasklist /v

image-20240304120851830

没有什么收获,那直接给网站根目录上d盾

image-20240304143811412

image-20240304144046895

查杀发现shell.php

image-20240304144127367

一眼冰蝎shell

密码就是rebeyond

2.攻击者ip地址

上日志搜索shell.php

image-20240304144318102

一眼丁真

3.隐藏账户

两种做法,一种d盾

image-20240304144528492

一种直接看windows日志

或者你也可以直接看注册表或者ad中去查看也是一样的

4.挖矿程序矿池域名

image-20240304144910593

直接在对应用户的桌面抓住挖矿程序

这个图标看样子像是用pyinstaller打包的,拿出来进行反编译

python pyinstxtractor.py Kuang.exe

image-20240304145308776

这里可以丢沙箱,也可以继续反编译(如果丢沙箱直接exe文件)

image-20240304145956705

image-20240304150705005

沙箱没有外连,可能靶机环境,正常

那直接在线反编译

image-20240304150833529

找到域名

三.总结

最基础的响应,期待后期出现更多更好的靶机

月金剑客
关注
  • 9
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户与shift粘贴键后门、植入WK程序-应急响应靶场
04-06
一次真实的应急响应案例(Windows2008)—暴力破解、留隐藏账户、shift粘贴键后门、植入wakuang程序——对应的应急响应靶场,应急响应教程参考链接:https://wxiaoge.blog.csdn.net/article/details/123897920?spm=1001.2014.3001.5502
一次真实的应急响应案例(Centos)——暴力破解、替换ps命令、留多个后门对应的应急响应靶场
03-10
暴力破解、替换ps命令、留多个houmen-应急响应靶场,应急响应教程:https://blog.csdn.net/weixin_40412037/article/details/123323981?spm=1001.2014.3001.5501
一次真实的应急响应案例(Ubuntu)——暴力破解、写入ssh公钥留后门、植入GPU挖矿程序——事件复现(含靶场环境)
W小哥
03-01 7848
一、SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。 危害: SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 一、事件背景 某天客户反馈:Linux服务器有异常连接,疑似被入侵。(真实案
应急响应靶场随练笔记 Day1
最新发布
2302_77018945的博客
06-09 424
又是学校蓝桥杯省奖退的钱还没发的一天,晚上本来是想着打打玄机靶场的,但是清电脑的时候突然发现了之前下的靶机,Windows部分做完之后就准备期末没有再做了(yysy做的简单and有内容),不做完属实可惜,加之官方WP属实是简略到出一定境界了(高情商)所以有了这篇小短文。靶场来源:知攻善防实验室下载地址。
应急响应——靶场实践
热门推荐
weixin_46601374的博客
04-21 1万+
唉,我可算直到值守每天12小时看警报是多么怨种的一工作,本以为该结束了,结果又加了一天!!!! 还好我没放弃自己,一直在自学东西(也不是我愿意的,这也不是没有办法嘛,大家都太卷了) 那就自学了学应急响应。不得不说,大佬们是真好呀,我才在日报里说我刚过完应急响应的知识,梳理出流程,就有大佬给我发来了——三个靶场,够我挺过这难熬的两天了。 嘿嘿不能辜负大佬的期望,咱就好好表现吧 目录 先搭个靶场 应急响应的过程 排查网络连接 排查历史命令 排查后门账户 查看特权账户 ...
应急响应靶场-Where-1S-tHe-Hacker-P2
hide_in_darkness的博客
06-05 951
关注我们,咱们在安全的路上,扬帆起航。
应急响应靶场Where-1S-tHe-Hacker
m0_75046593的博客
04-18 273
应急响应实战靶场 打开靶机,发现有两个用户,admin和admin$,一个是隐藏用户 admin用户的密码是Aa123456 杀软查杀 进入主机,我们直接使用D盾和D-eyes杀软进行后台扫描,节省时间 这边附上绿盟科技的D-Eyes的使用参数说明 #### Windows 请以管理员身份运行cmd,之后再输入D-Eyes路径运行即可或进入终端后切换到D-Eyes程序目录下运行程序。 #...
应急响应靶场-Where-1S-tHe-Hacker-P1
hide_in_darkness的博客
06-05 1127
关注我们,咱们在安全的路上,扬帆起航。
应急响应靶场 --web1 ---知攻善防实验室
m0_66663680的博客
03-06 1190
靶场下载地址:小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统。
应急响应靶场web1】
一纸荒芜的博客
03-14 3322
本文记录一下自己的靶场解题过程 靶场来源:知攻善防实验室
应急响应靶机训练-近源渗透OS-1
Liyu_6618的博客
05-07 1171
应急响应靶机训练-近源渗透OS-1
应急响应靶场web2】
一纸荒芜的博客
03-15 1502
靶场来源:知攻善防实验室
一次真实的应急响应案例——篡改页面、sysupdate、networkservice-靶场环境下载百度链接)
03-03
真实有效,如有侵权请联系CSDN管理员删除即可
应急响应场景搭建
inslight的博客
09-21 1528
应急响应靶场搭建
[护网训练]应急响应靶机整理
Liyu_6618的博客
04-09 952
[护网训练]应急响应靶机整理
一次真实的应急响应案例(Linux)——SSH暴力破解+crontab隐藏后门——事件复现(含靶场环境)
W小哥
04-21 4121
一、SSH协议介绍 SSH(Secure Shell)是一套协议标准,可以用来实现两台机器之间的安全登录以及安全的数据传送,其保证数据安全的原理是非对称加密。SSH 是目前较可靠,专为远程登录会话和其他网络服务提供安全性的协议,主要用于给远程登录会话数据进行加密,保证数据传输的安全。 危害: SSH口令长度太短或者复杂度不够,如仅包含数字,或仅包含字母等,容易被攻击者破解,一旦被攻击者获取,可用来直接登录系统,控制服务器所有权限。 一、事件背景 某天客户反馈:Linux服务器有异常链接,疑似被入侵。 ..
一次真实的应急响应案例——篡改页面、挖矿(sysupdate、networkservice)(含靶场环境)
W小哥
03-03 7197
一、事件描述: 某公司运维人员小李近期发现,通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题,运维人员认为该公司服务器可能被黑客入侵了,现小李向XX安全公司求助,解决网站跳转问题。 二、应急响应过程 2.1 查找植入暗链的代码 通过运维人员提供的信息:“通过搜索引擎访问该公司网站会自动跳转到恶意网站(博彩网站),但是直接输入域名访问该公司网站,则不会出现跳转问题”,可以判断出,网站首页已经被植入了暗链,那么可以先查看网站首页 index.jsp文
一次真实的应急响应案例(Windows2008)——暴力破解、留隐藏账户后门与shift粘贴键后门、植入WaKuang程序——事件复现(含靶场环境)
W小哥
04-02 1万+
一、事件背景 某天客户反馈:服务器疑似被入侵,与恶意IP进行通信(恶意IP用192.168.226.131代替)。(真实案例自己搭建环境复现一下,靶场环境放在了 知识星球 和 我的资源 中) 受害服务器: Centos系统、IP: 192.168.226.132、无WEB服务 二、应急响应过程 2.1 排查网络连接 2.2 排查历史命令 2.3 排查后门账户 2.4 排查crontab后门 2.5 排查是否有命令被替换 三、应急响应溯源 3.1 查看后门 3.2 排查安全日志 3.2 溯源总结 至此,应急响
记一次应急靶场实战--web1
weixin_72543266的博客
03-07 1538
前情,是由 知攻善防实验室发出的应急靶机训练,微信搜就可以了,没打广告,大学生不骗大学生,下面是挑战地址,这是一个应急响应靶场的练习
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值