应急响应靶机训练-Web1

admin 2024年3月3日04:30:00评论22 views字数 770阅读2分34秒阅读模式

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任!

前言:最近开始在招hvv了,也在偶然间知攻善防实验室发了应急响应靶机的文章,所以就拿来练习了。

题目

前景需要: 

小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件: 

1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名、
用户:administrator 密码:[email protected]

应急响应靶机训练-Web1

解题

涉及到的工具:知攻善防实验室的蓝队工具箱

应急响应靶机训练-Web1

1. 攻击者的shell密码
打开工具箱使用D盾牌进行扫描,也可以使用河马

应急响应靶机训练-Web1

应急响应靶机训练-Web1

D盾

应急响应靶机训练-Web1

河马(识别到了特征为冰蝎)

应急响应靶机训练-Web1

得到密码:rebeyond

应急响应靶机训练-Web1

2. 攻击者的IP地址 
查看apache的日志

应急响应靶机训练-Web1

应急响应靶机训练-Web1

搜索shell.php找到ip

应急响应靶机训练-Web1

3. 攻击者隐藏账户名称 
可以在D盾自带的克隆账号检测工具找到隐藏账号

应急响应靶机训练-Web1

也可以在蓝队工具的日志分析中的Windows日志一键分析中找到隐藏账号

应急响应靶机训练-Web1

应急响应靶机训练-Web1

应急响应靶机训练-Web1

4. 攻击者挖矿程序的矿池域名 
在hack168$用户桌面找到了挖矿程序

应急响应靶机训练-Web1

这个图标是用python打包的,我们使用pyinstaller进行反编译 https://github.com/extremecoders-re/pyinstxtractor

应急响应靶机训练-Web1

然后使用在线反编译工具得到源码 

在线工具(1):https://tool.lu/pyc/ 
在线工具(2):https://toolkk.com/tools/pyc-decomplie 

找到kuang.pyc文件拖进去

应急响应靶机训练-Web1

得到矿池域名:http://wakuang.zhigongshanfang.top

应急响应靶机训练-Web1



原文始发于微信公众号(Piusec):应急响应靶机训练-Web1

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月3日04:30:00
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急响应靶机训练-Web1http://cn-sec.com/archives/2541722.html

发表评论

匿名网友 填写信息