该环境是知攻善防新推出的应急响应靶机Web1靶机,下载下来玩了玩,终于又有新的应急响应环境可以打了,我哭死。
前景需要:
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名(仅域名)
5.有实力的可以尝试着修复漏洞
尝试解题
环境
看主机描述,CPU占用飙升,那第一反应就是有挖矿问题,需要优先查进程。
打开机器,看到桌面上有一个解题.exe,运行弹出窗口,输入y
网络和进程
无异常,话说这系统都重启了那还会有当时的网络连接和进程情况啊?我有点犯憨了
进程当然也没了
行吧,看第一个要求,让输入攻击者的shell密码
第一题、攻击者shell密码
那就需要找文件,肯定要看Web日志和Web目录了,有phpstudy,看它目录
本来想这一个模拟环境我直接去看应该就行,结果一看文件好汤姆多,算了,把D盾和河马拉上来吧
河马查到为冰蝎3.0马,密码得到rebeyond
第二题、攻击者的IP地址
IP毫无疑问看日志呗,这个版本的Apache默认日志和老版本位置变了一下,我找了下才找到,有两个日志,一个access.log时间是19年的,一个access.log.1708905600时间是2024年2月26日,那应该是下面这个
这里可以直接打开txt查,也可以用工具,我一勺三花淡奶,直接上家伙,好吧,环境有些小白了,一进去就明晃晃的在那
第三题、攻击者的隐藏账户名称
真实应急响应的话我都是全排查一遍,因为不知道问题在哪,这个环境本来也想按照自己的节奏来的,但前面的题来看有些简单,那就直接上家伙吧,D盾
第四题、攻击者挖矿程序的矿池域名
直接扫文件没找到挖矿程序
进程里因为这个系统重启了所以也没了,那就根据时间排查一下新创建和修改的文件吧,根据上面得到的时间是26日,查一下,终于让我逮到了
本来想开一下挖矿程序,然后从dns里查矿池域名,结果直接卡死了,我汤姆
那就和之前一样丢沙盒里吧,这,没有对外的请求啊,行吧,估计就是没有对外请求,毕竟是模拟环境嘛,那只能反编译了
看图标,这整个环境的exe应该都是Python打包的,用老办法pyinstxtractor解包
该工具地址
https://github.com/extremecoders-re/pyinstxtractor
或者
https://sourceforge.net/projects/pyinstallerextractor/files/latest/download
反编译
py .\pyinstxtractor.py Kuang.exe
得到一个Kuang.exe_extracted文件夹,进去找到Kuang.pyc,用在线反编译工具
https://tool.lu/pyc/
http://wakuang.zhigongshanfang.top输入完直接就结束了总结比较简单,适合小白练手,期待后续更有挑战的环境
原文始发于微信公众号(SecHub网络安全社区):应急响应靶机-Web1 writeup
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论