【应急响应】应急响应靶机训练-Web2

admin 2025年1月7日11:39:25评论13 views字数 992阅读3分18秒阅读模式

基本介绍

小李在值守的过程中发现有CPU占用飙升,出于胆子小就立刻将服务器关机,这是他的服务器统,请你找出以下内容并作为通关条件:

  1. 攻击者的shell密码

  2. 攻击者的IP地址

  3. 攻击者的隐藏账户名称

  4. 攻击者挖矿程序的矿池域名

环境构建

下载靶机并使用VMware Workstation打开:

【应急响应】应急响应靶机训练-Web2

账号密码:

用户:administrator密码:Zgsf@admin.com

【应急响应】应急响应靶机训练-Web2

靶场题目

运行桌面的"解题"程序后会出现如下界面:

【应急响应】应急响应靶机训练-Web2

题目内容如下:

1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名

解题过程

第一问答

靶机的第一个问题是"攻击者的shell密码",我们直接上传D盾对WEB目录进行查杀:

【应急响应】应急响应靶机训练-Web2

随后定位到webshell,打开文件即可获取到webshell的链接密码——rebeyond

【应急响应】应急响应靶机训练-Web2

第二问答

靶机的第二个问题是"攻击者的IP地址",关于这一点我们需要通过日志进行分析,直接进入到Apache日志目录下打开access.log文件后全局检索"shell.php",从中可以发现请求IP地址源自192.168.126.1

【应急响应】应急响应靶机训练-Web2

第三问答

靶机的第三个问题是"攻击者的隐藏账户名称",这一个问题我们可以直接使用D盾的"克隆检测"功能进行检测,从中发现账号——hack168$

【应急响应】应急响应靶机训练-Web2

第四问答

靶机的第四个问题是"攻击者挖矿程序的矿池域名",这一个问题属实把人给难到了,既然有一个隐藏账号,那么我们不妨进入这个隐藏账号的文件夹(C:Usershack168$)看看有没有什么东西,随后发现在桌面存在可疑的exe程序 :

【应急响应】应急响应靶机训练-Web2

图标为pyinstaller打包,所以我们这里使用pyinstxtractor进行反编译

https://github.com/extremecoders-re/pyinstxtractor

【应急响应】应急响应靶机训练-Web2

随后得到得到pyc文件:

【应急响应】应急响应靶机训练-Web2

随后再使用在线pyc反编译工具(https://tool.lu/pyc/)得到源码,从下面我们可以得到矿池的地址——http://wakuang.zhigongshanfang.top

【应急响应】应急响应靶机训练-Web2

文末小结

本篇文章通过这一个应急靶机我们学到的知识主要有通过D盾查杀webshell,随后对影子账号的恶意操作进行排查以及如何将python编译成的EXE程序反编译为Python源代码程序并从中获取关键的信息~

原文始发于微信公众号(七芒星实验室):【应急响应】应急响应靶机训练-Web2

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年1月7日11:39:25
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   【应急响应】应急响应靶机训练-Web2http://cn-sec.com/archives/3599990.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息