[题解]应急响应靶机训练-挖矿事件

admin 2024年5月31日00:27:44评论45 views字数 691阅读2分18秒阅读模式

前言

应急响应靶机训练,为保证每位安服仔都有上手的机会,不做理论学家,增加动手经验,可前来挑战应急响应靶机-挖矿事件,此系列后期会长期更新,关注本公众号,被动学习。

题目链接:[hvv训练]应急响应靶机训练-挖矿事件

题解

账号密码

administrator/zgsf@123

启动机器后找到ip,链接RDP桌面

[题解]应急响应靶机训练-挖矿事件

任务管理器找到异常进程

[题解]应急响应靶机训练-挖矿事件

打开文件位置:

[题解]应急响应靶机训练-挖矿事件

题目要求我们计算这个文件的hash

[题解]应急响应靶机训练-挖矿事件

右键双击,上传hash计算器至服务器

挖矿程序的md5:A79D49F425F95E70DDF0C68C18ABC564

紧接着上传火绒剑,上传火绒剑后,找相关异常

异常脚本:

[题解]应急响应靶机训练-挖矿事件

编辑这个脚本看看是什么内容

[题解]应急响应靶机训练-挖矿事件

找到 挖矿脚本

[题解]应急响应靶机训练-挖矿事件

题目要求计算这个脚本的hash

[题解]应急响应靶机训练-挖矿事件

挖矿脚本hash:8414900F4C896964497C2CF6552EC4B9

[题解]应急响应靶机训练-挖矿事件

打开后记录

[题解]应急响应靶机训练-挖矿事件

确定是挖矿矿池,记录域名

钱包地址:

4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

[题解]应急响应靶机训练-挖矿事件

找到挖矿进程

[题解]应急响应靶机训练-挖矿事件

杀死杀死

[题解]应急响应靶机训练-挖矿事件

已知条件,是一台运维的电脑,那么说明,不回去跑任何业务,打开桌面上的表格看看

[题解]应急响应靶机训练-挖矿事件

密码都是统一的,说明可能是攻击者在拿到一台的密码后进行的密码喷洒

右键双击Windows日志一键分析,上传至服务器

[题解]应急响应靶机训练-挖矿事件

发现暴力破解痕迹,并记录时间2024-05-21 20:25:22

[题解]应急响应靶机训练-挖矿事件

[题解]应急响应靶机训练-挖矿事件

攻击者IP地址192.168.115.131

然后Win+R调出来cmd

cmdcd Desktop解题系统.exe

[题解]应急响应靶机训练-挖矿事件

原文始发于微信公众号(知攻善防实验室):[题解]应急响应靶机训练-挖矿事件

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年5月31日00:27:44
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   [题解]应急响应靶机训练-挖矿事件https://cn-sec.com/archives/2794692.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息