应急响应靶机-Web1 writeup

admin 2024年2月29日15:35:32评论29 views字数 1321阅读4分24秒阅读模式
前言

该环境是知攻善防新推出的应急响应靶机Web1靶机,下载下来玩了玩,终于又有新的应急响应环境可以打了,我哭死。

前景需要:

小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件:

1.攻击者的shell密码

2.攻击者的IP地址

3.攻击者的隐藏账户名称

4.攻击者挖矿程序的矿池域名(仅域名)

5.有实力的可以尝试着修复漏洞

尝试解题

环境

应急响应靶机-Web1 writeup

看主机描述,CPU占用飙升,那第一反应就是有挖矿问题,需要优先查进程。

打开机器,看到桌面上有一个解题.exe,运行弹出窗口,输入y

应急响应靶机-Web1 writeup

 

网络和进程

无异常,话说这系统都重启了那还会有当时的网络连接和进程情况啊?我有点犯憨了

应急响应靶机-Web1 writeup

进程当然也没了

应急响应靶机-Web1 writeup

 

行吧,看第一个要求,让输入攻击者的shell密码

第一题、攻击者shell密码

那就需要找文件,肯定要看Web日志和Web目录了,有phpstudy,看它目录

应急响应靶机-Web1 writeup

本来想这一个模拟环境我直接去看应该就行,结果一看文件好汤姆多,算了,把D盾和河马拉上来吧

应急响应靶机-Web1 writeup

河马查到为冰蝎3.0马,密码得到rebeyond

应急响应靶机-Web1 writeup

 

应急响应靶机-Web1 writeup

第二题、攻击者的IP地址

IP毫无疑问看日志呗,这个版本的Apache默认日志和老版本位置变了一下,我找了下才找到,有两个日志,一个access.log时间是19年的,一个access.log.1708905600时间是2024年2月26日,那应该是下面这个

应急响应靶机-Web1 writeup

这里可以直接打开txt查,也可以用工具,我一勺三花淡奶,直接上家伙,好吧,环境有些小白了,一进去就明晃晃的在那

应急响应靶机-Web1 writeup

第三题、攻击者的隐藏账户名称

真实应急响应的话我都是全排查一遍,因为不知道问题在哪,这个环境本来也想按照自己的节奏来的,但前面的题来看有些简单,那就直接上家伙吧,D盾

应急响应靶机-Web1 writeup

第四题、攻击者挖矿程序的矿池域名

直接扫文件没找到挖矿程序

应急响应靶机-Web1 writeup

进程里因为这个系统重启了所以也没了,那就根据时间排查一下新创建和修改的文件吧,根据上面得到的时间是26日,查一下,终于让我逮到了

应急响应靶机-Web1 writeup

 

本来想开一下挖矿程序,然后从dns里查矿池域名,结果直接卡死了,我汤姆

应急响应靶机-Web1 writeup

那就和之前一样丢沙盒里吧,这,没有对外的请求啊,行吧,估计就是没有对外请求,毕竟是模拟环境嘛,那只能反编译了

应急响应靶机-Web1 writeup

看图标,这整个环境的exe应该都是Python打包的,用老办法pyinstxtractor解包

该工具地址

https://github.com/extremecoders-re/pyinstxtractor
或者
https://sourceforge.net/projects/pyinstallerextractor/files/latest/download

反编译

py .\pyinstxtractor.py Kuang.exe

应急响应靶机-Web1 writeup

得到一个Kuang.exe_extracted文件夹,进去找到Kuang.pyc,用在线反编译工具

https://tool.lu/pyc/

应急响应靶机-Web1 writeup

http://wakuang.zhigongshanfang.top输入完直接就结束了总结比较简单,适合小白练手,期待后续更有挑战的环境

 

 

原文始发于微信公众号(SecHub网络安全社区):应急响应靶机-Web1 writeup

 

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年2月29日15:35:32
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急响应靶机-Web1 writeuphttp://cn-sec.com/archives/2536795.html

发表评论

匿名网友 填写信息