*声明:*请勿利用文章内的相关技术从事非法测试,由于传播、利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任。合法渗透,本文章内容纯属虚构,如遇巧合,纯属意外。
前言
该环境是知攻善防新推出的应急响应靶机Web1靶机
前景需要:
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名(仅域名)
5.有实力的可以尝试着修复漏洞
一.总体思路
我们先来复习一下应急响应的思路
应急响应的标准流程是: 响应 阻断 分析 溯源 加固 首先响应则是判断是否为真实攻击,若为真实攻击,则保护现场,进行信息收集,然后迅速进行断网处理,对核心资产进行加固,进行阻断。接下来则是分析,端口外联,日志,马的查杀,bash_history,隐藏后门,隐藏用户,cpu,进程等各方面进行综合分析。溯源则是根据拿到的ip或者病毒木马等样本沙箱查过得到的信息进行ip反查,并分析漏洞产生的原因,分析攻击利用链,根据对应的攻击利用方式对web应用或者主机进行加固。
需要工具
d盾 pyinstaller打包的exe文件反编译工具 https://github.com/extremecoders-re/pyinstxtractor 在线pyc反编译工具 https://toolkk.com/tools/pyc-decomplie
二.解题思路
1.获得shell密码
netstat -ant
tasklist /v
没有什么收获,那直接给网站根目录上d盾
查杀发现shell.php
一眼冰蝎shell
密码就是rebeyond
2.攻击者ip地址
上日志搜索shell.php
一眼丁真
3.隐藏账户
两种做法,一种d盾
一种直接看windows日志
或者你也可以直接看注册表或者ad中去查看也是一样的
4.挖矿程序矿池域名
直接在对应用户的桌面抓住挖矿程序
这个图标看样子像是用pyinstaller打包的,拿出来进行反编译
python pyinstxtractor.py Kuang.exe
这里可以丢沙箱,也可以继续反编译(如果丢沙箱直接exe文件)
沙箱没有外连,可能靶机环境,正常
那直接在线反编译
找到域名
三.总结
最基础的响应,期待后期出现更多更好的靶机