应急响应靶场-Web1

挑战内容

前景需要：

小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，并找来正在吃苕皮的hxd帮他分析，这是他的服务器系统，请你找出以下内容，并作为通关条件：

1.攻击者的shell密码

2.攻击者的IP地址

3.攻击者的隐藏账户名称

4.攻击者挖矿程序的矿池域名(仅域名)

5.有实力的可以尝试着修复漏洞

关于靶机启动

使用Vmware启动即可，如启动错误，请升级至Vmware17.5以上

靶机环境：

Windows Server 2022

phpstudy(小皮面板)

题解

如何查看自己的题解是否正确？

桌面上有一个administrator用户的桌面上解题程序

输入正确答案即可解题。

相关账户密码

用户:administrator

密码:Zgsf@admin.com

解题

攻击者的shell密码

想要拿到攻击者的shell密码，我们的思路就是攻击者利用我们web上的服务进行了文件上传，连接了webshell，那么我们的web目录下面一定存在webshell！

接下来我们利用phpstudy，打开网站的根目录：

打开目录之后，看到了下面的这些文件：

这里我尝试边进行应急，边进行攻击的方法进行学习。

查看了当前的主机的IP地址，同时也查看了开放的端口信息，发现主机开放了80端口。访问之后，发现是emlog搭建的博客站点！

查看网站的日志信息：

发现最下面存在shell的文件，那就看一下这个路径下面是否存在这个shell.php文件！

确实是存在这个文件的！打开这个文件会发现：

这是冰蝎的php webshell，连接的密钥就是rebeyond，当然了这里也是完全可以直接上传webshell的查杀工具，直接进行查杀！

这是河马的webshell查杀显示的结果，发现了冰蝎的php后门！到此第一个题目也就迎刃而解了：

攻击者的IP地址

很明显上面我们在访问日志的时候，已经看到了日志中，仅有一个IP地址在不断的访问webshell地址，进行通信！

那么就判断攻击者的IP地址就是192.168.126.1

攻击者的隐藏账户的名称

利用win+R键：选择计算机管理：

查看本地用户和组，发现了隐藏账号hack168$

当然利用命令：wmic useraccount get name,sid 也可以查看：

此时第三题也已经被我们解出来了：

攻击者挖矿程序的矿池域名

根据上面我们已经找到了存在一个用户hack168，于是看了一下这个用户桌面上的文件，发现了一个Kuang的文件：

打开之后，就会发现cpu飙升！

上传微步云沙箱进行分析：

该程序是一个利用pyinstaller打包的程序！可以进行反编译：

https://github.com/extremecoders-re/pyinstxtractor/releases/tag/2024.04

拿到了pyc的文件！尝试反编译打开看一下：

最终拿到了挖矿的域名：wakuang.zhigongshanfang.top

攻击复现

端口开放的比较多，既然是上传的webshell，肯定是从web服务上打开了突破点：

后台登录入口放在首页上了！没有验证码等信息，尝试进行爆破。先尝试了弱口令就发现可以进去：

admin/123456

一般这种博客都是存在文件上传的！比如在扩展和插件的地方就是可以上传！wordpress很多漏洞就是出现在这上面！

写一个webshell。然后将webshell进行压缩，压缩成zip，zip的文件名和webshell的文件名保持一致才可以！

这个过程需要将windows防护墙等关闭，现实来说都是开启的~

上传成功之后，访问：http://172.16.250.4/content/plugins/q/q.php

使用冰蝎进行连接！可以看到成功连接！