前言
应急响应靶机训练,为保证每位安服仔都有上手的机会,不做理论学家,增加动手经验,可前来挑战应急响应靶机-挖矿事件,此系列后期会长期更新,关注本公众号,被动学习。
题目链接:[hvv训练]应急响应靶机训练-挖矿事件
题解
账号密码
administrator/zgsf@123
启动机器后找到ip,链接RDP桌面
任务管理器找到异常进程
打开文件位置:
题目要求我们计算这个文件的hash
右键双击,上传hash计算器至服务器
挖矿程序的md5:A79D49F425F95E70DDF0C68C18ABC564
紧接着上传火绒剑,上传火绒剑后,找相关异常
异常脚本:
编辑这个脚本看看是什么内容
找到 挖矿脚本
题目要求计算这个脚本的hash
挖矿脚本hash:8414900F4C896964497C2CF6552EC4B9
打开后记录
确定是挖矿矿池,记录域名
钱包地址:
4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y
找到挖矿进程
杀死杀死
已知条件,是一台运维的电脑,那么说明,不回去跑任何业务,打开桌面上的表格看看
密码都是统一的,说明可能是攻击者在拿到一台的密码后进行的密码喷洒
右键双击Windows日志一键分析,上传至服务器
发现暴力破解痕迹,并记录时间2024-05-21 20:25:22
攻击者IP地址192.168.115.131
然后Win+R调出来cmd
cmd
cd
Desktop
解题系统.exe
原文始发于微信公众号(知攻善防实验室):[题解]应急响应靶机训练-挖矿事件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论