前言
应急响应靶机训练,为保证每位安服仔都有上手的机会,不做理论学家,增加动手经验,可前来挑战应急响应靶机-挖矿事件,此系列后期会长期更新,关注本公众号,被动学习。
题目链接:[hvv训练]应急响应靶机训练-挖矿事件
题解
账号密码
administrator/zgsf@123
启动机器后找到ip,链接RDP桌面
![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/0-1717033461.png "[题解]应急响应靶机训练-挖矿事件")
任务管理器找到异常进程
![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/1-1717033463.png "[题解]应急响应靶机训练-挖矿事件")
打开文件位置:
![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/1-1717033464.png "[题解]应急响应靶机训练-挖矿事件")
题目要求我们计算这个文件的hash
![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/6-1717033469.png "[题解]应急响应靶机训练-挖矿事件")
右键双击,上传hash计算器至服务器
挖矿程序的md5:A79D49F425F95E70DDF0C68C18ABC564
紧接着上传火绒剑,上传火绒剑后,找相关异常
异常脚本:
![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/10-1717033474.png "[题解]应急响应靶机训练-挖矿事件")
编辑这个脚本看看是什么内容
![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/0-1717033481.png "[题解]应急响应靶机训练-挖矿事件")
找到 挖矿脚本
![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/9-1717033483.png "[题解]应急响应靶机训练-挖矿事件")
题目要求计算这个脚本的hash
![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/8-1717033484.png "[题解]应急响应靶机训练-挖矿事件")
挖矿脚本hash:8414900F4C896964497C2CF6552EC4B9
![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/7-1717033486.png "[题解]应急响应靶机训练-挖矿事件")
打开后记录
![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/4-1717033488.png "[题解]应急响应靶机训练-挖矿事件")
确定是挖矿矿池,记录域名
钱包地址:
4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/10-1717033489.png "[题解]应急响应靶机训练-挖矿事件")
找到挖矿进程
![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/10-1717033492.png "[题解]应急响应靶机训练-挖矿事件")
杀死杀死
![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/8-1717033494.png "[题解]应急响应靶机训练-挖矿事件")
已知条件,是一台运维的电脑,那么说明,不回去跑任何业务,打开桌面上的表格看看
![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/5-1717033495.png "[题解]应急响应靶机训练-挖矿事件")
密码都是统一的,说明可能是攻击者在拿到一台的密码后进行的密码喷洒
右键双击Windows日志一键分析,上传至服务器
![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/2-1717033497.png "[题解]应急响应靶机训练-挖矿事件")
发现暴力破解痕迹,并记录时间2024-05-21 20:25:22
![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/3-1717033499.png "[题解]应急响应靶机训练-挖矿事件")
![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/3-1717033500.png "[题解]应急响应靶机训练-挖矿事件")
攻击者IP地址192.168.115.131
然后Win+R调出来cmd
cmdcdDesktop解题系统.exe
![[题解]应急响应靶机训练-挖矿事件](http://cn-sec.com/wp-content/uploads/2024/05/2-1717033502.png "[题解]应急响应靶机训练-挖矿事件")
原文始发于微信公众号(知攻善防实验室):[题解]应急响应靶机训练-挖矿事件
免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论