记一次应急靶场实战--web1

  前情,是由 知攻善防实验室发出的应急靶机训练,微信搜就可以了,没打广告,大学生不骗大学生,下面是挑战地址

前来挑战！应急响应靶机训练-Web1

 本次应急主要是为了应对接下来的护网面试和比赛,顺便提高一下自己对应急和溯源的实战能力,这里有两个逗比的事情发生,一是用D盾分析的时候,电脑环境监测到了,把要分析的马杀了,二是,发现无法使用脚本,在自己本机实验,电脑差点搞崩,还好佬在制作时候只是单次运行会占用.切记不要本机实验,一定要在虚拟机中进行测试

目录

1.挑战内容

1.1 前景需要：

1.2 关于靶机启动

1.3 靶机环境：

2. 题解

1.如何查看自己的题解是否正确？

2.题目分析

2.1,题目1--shell密码

1.找到WWW目录

2.题目分析

2.1,题目1--shell密码

1.找到WWW目录

2.使用D盾

3.(^o^)/获取到shell密码

2.2--攻击者的IP地址

1.寻找日志

2.(^o^)/找到黑客IP地址

2.3--攻击者的隐藏账号名称

1.分析日志

2.(^o^)/找到隐藏账户名称

1.寻找可疑文件

2.对可疑文件进行反编译

3.在线反编译

4.(^o^)/得到矿池域名

3.答案总结

---

1.挑战内容

1.1 前景需要：

小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，并找来正在吃苕皮的hxd帮他分析，这是他的服务器系统，请你找出以下内容，并作为

通关条件：

1.攻击者的shell密码

2.攻击者的IP地址

3.攻击者的隐藏账户名称

4.攻击者挖矿程序的矿池域名(仅域名)

5.有实力的可以尝试着修复漏洞

1.2 关于靶机启动

使用Vmware启动即可，如启动错误，请升级至Vmware17.5以上

这里本人因为使用的是Vmware15,运行失败,经过搜索发现直接更新就行,然后去官网搜了一个,直接下载最新版,然后运行exe文件,就会进行更新,原先的文件和记录不会消失,可以放心安装

1.3 靶机环境：

Windows Server 2022

phpstudy(小皮面板)

2. 题解

1.如何查看自己的题解是否正确？

桌面上有一个administrator用户的桌面上解题程序,输入正确答案即可解题。

相关账户密码

用户:administrator

密码:Zgsf@admin.com

2.题目分析

这里对题目进行分析,本题或是本靶机的重点在于对服务器系统的分析,靶机的phpstudy(小皮面板)代表服务器环境,确定目标,小皮的环境

2.1,题目1--shell密码

首先找到shell,看到这里我想起来之前做ctf的时候做过的一道题目,这里查找shell的方式可以用杀毒软件进行查杀,目标服务器www目录下,会放着服务

1.找到WWW目录

打开小皮,在小皮的管理中打开跟目录.

2.题目分析

这里对题目进行分析,本题或是本靶机的重点在于对服务器系统的分析,靶机的phpstudy(小皮面板)代表服务器环境,确定目标,小皮的环境

2.1,题目1--shell密码

首先找到shell,看到这里我想起来之前做ctf的时候做过的一道题目,这里查找shell的方式可以用杀毒软件进行查杀,目标服务器www目录下,会放着服务

1.找到WWW目录

打开小皮,在小皮的管理中打开跟目录.

会直接进入网站跟目录中,然后分析的话,常见操作可以自己去找,分析一些上传的目录,这里我懒了,直接上传D盾

2.使用D盾

这里直接靶D盾上传进入靶机环境中,具体方法可以使用U盘和虚拟机的toos直接拖入,具体可以直接在网上搜

在靶场中打开D盾,打开查杀,然后扫描WWW目录,将扫描目录的地址,改为上面打开的跟目录,进行扫描,很快就出结果了,发现shell文件,然后呢,电脑杀没了,寄

还好,应该是电脑自带的安全中心,在扫描发现后,直接杀掉了,这里可以打开安全中心,进行复原,复原后再次扫描就可以看到了

然后右键,查看文件,发现默认密码,搜了一下,是冰蝎的默认密码,小白一个,没用过冰蝎还停留在蚁剑

3.(^o^)/获取到shell密码

获取到shell的连接密码rebeyond

2.2--攻击者的IP地址

1.寻找日志

既然是寻找ip地址,通常方式就是从入侵者所做的事情来进行分析,那么日志和流量包都是分析的重要目标

还是先点开跟目录,然后找到Apache服务器的日志,进行分析

对于小白的我来说,既然对方上传了木马shell文件,那么日志肯定是会有记录的,这就是突破点,直接ctrl+f进行搜索shell.php

2.(^o^)/找到黑客IP地址

192.168.126.1

2.3--攻击者的隐藏账号名称

既然攻击者进行了隐藏账号,那我们可以进行反推,对方进行了登录,并隐藏了账号

1.分析日志

既然获取到了ip,在分析日志到ip前,不要忽略掉,黑客常用操作弱口令爆破,也是我常用的招式

发现有大量爆破行为，猜测存在弱口令

既然要进一步分析,我们可以做的方式还是很多,但对我这个弱鸡来说,用工具来分析是不二之选,当然最近也出了一个分析平台也不错,我还是比较习惯使用蓝队集成工具箱的日志分析功能,进行分析,这里使用win日志一键分析

根据分析确定应该是通过弱口令进行远程桌面登录,然后使用工具进行查看远程桌面登陆成功日志

2.(^o^)/找到隐藏账户名称

通过后面的IP我们确定是攻击者的隐藏账户

hack168$

1.寻找可疑文件

经过上一步的分析,我们发现未知名用户,找到该用户文件夹位置,在该用户的桌面部分,发现可疑的文件

正常操作应该是把这个文件打开,但他自己都差点把矿这个字都写出来了,并且也确定是攻击者的,那么这个就是挖矿程序了

2.对可疑文件进行反编译

这里看到这个图标对于经常讲python进行打包为exe文件的我来说很熟悉了,使用了pyinstaller打包，使用pyinstxtractor进行反编译

https://github.com/extremecoders-re/pyinstxtractor

这里把kuang.exe放在工具的目录下,注意要使用.\,这里用工具然后进行反编译

3.在线反编译

在解包的Kuang.exe_extracted下找到pyc,用下面的在线反编译进行分析

python反编译 - 在线工具

使用方法就是找到Kuang.exe_extracted下找到pyc,然后就会出现源代码.

python文件在被import运行的时候会在同目录下编译一个pyc的文件（为了下次快速加载），这个文件可以和py文件一样使用，但无法阅读和修改；python工具支持将pyc文件反编译为py文件（可能会存在部分文件无法反编译）。

4.(^o^)/得到矿池域名

http://wakuang.zhigongshanfang.top

3.答案总结

1.    rebeyond

2.   192.168.126.1

3.    hack168$

4.    http://wakuang.zhigongshanfang.top

在输入完最后一个域名后,程序会自动关闭,注意输入答案时,不要在答案前留空格不然也会关闭.