免责声明
本文仅用于技术讨论与学习,利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失,均由使用者本人负责,文章作者不为此承担任何责任!
前言:最近开始在招hvv了,也在偶然间知攻善防实验室发了应急响应靶机的文章,所以就拿来练习了。
题目
前景需要:
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名、
用户:administrator 密码:[email protected]
解题
涉及到的工具:知攻善防实验室的蓝队工具箱
打开工具箱使用D盾牌进行扫描,也可以使用河马
D盾
河马(识别到了特征为冰蝎)
得到密码:rebeyond
搜索shell.php找到ip
也可以在蓝队工具的日志分析中的Windows日志一键分析中找到隐藏账号
这个图标是用python打包的,我们使用pyinstaller进行反编译 https://github.com/extremecoders-re/pyinstxtractor
然后使用在线反编译工具得到源码
在线工具(1):https://tool.lu/pyc/
在线工具(2):https://toolkk.com/tools/pyc-decomplie
找到kuang.pyc文件拖进去
得到矿池域名:http://wakuang.zhigongshanfang.top
原文始发于微信公众号(Piusec):应急响应靶机训练-Web1
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论