行吧，看第一个要求，让输入攻击者的shell密码

第一题、攻击者shell密码

那就需要找文件，肯定要看Web日志和Web目录了，有phpstudy，看它目录

本来想这一个模拟环境我直接去看应该就行，结果一看文件好汤姆多，算了，把D盾和河马拉上来吧

河马查到为冰蝎3.0马，密码得到rebeyond

 

第二题、攻击者的IP地址

IP毫无疑问看日志呗，这个版本的Apache默认日志和老版本位置变了一下，我找了下才找到，有两个日志，一个access.log时间是19年的，一个access.log.1708905600时间是2024年2月26日，那应该是下面这个

这里可以直接打开txt查，也可以用工具，我一勺三花淡奶，直接上家伙，好吧，环境有些小白了，一进去就明晃晃的在那

第三题、攻击者的隐藏账户名称

真实应急响应的话我都是全排查一遍，因为不知道问题在哪，这个环境本来也想按照自己的节奏来的，但前面的题来看有些简单，那就直接上家伙吧，D盾

第四题、攻击者挖矿程序的矿池域名

直接扫文件没找到挖矿程序

进程里因为这个系统重启了所以也没了，那就根据时间排查一下新创建和修改的文件吧，根据上面得到的时间是26日，查一下，终于让我逮到了

 

本来想开一下挖矿程序，然后从dns里查矿池域名，结果直接卡死了，我汤姆

那就和之前一样丢沙盒里吧，这，没有对外的请求啊，行吧，估计就是没有对外请求，毕竟是模拟环境嘛，那只能反编译了

看图标，这整个环境的exe应该都是Python打包的，用老办法pyinstxtractor解包

该工具地址

https://github.com/extremecoders-re/pyinstxtractor
或者
https://sourceforge.net/projects/pyinstallerextractor/files/latest/download

反编译

py .\pyinstxtractor.py Kuang.exe

得到一个Kuang.exe_extracted文件夹，进去找到Kuang.pyc，用在线反编译工具

https://tool.lu/pyc/

http://wakuang.zhigongshanfang.top输入完直接就结束了总结比较简单，适合小白练手，期待后续更有挑战的环境