记一次应急靶场实战--web1

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
.cn 域名,1个 12个月
简介: 本次应急靶机题目训练主要是为了应对接下来的护网面试和比赛,顺便提高一下自己对应急和溯源的实战能力,这里有两个逗比的事情发生,一是用D盾分析的时候,电脑环境监测到了,把要分析的马杀了,二是,发现无法使用脚本,在自己本机实验,电脑差点搞崩,还好佬在制作时候只是单次运行会占用.切记不要本机实验,一定要在虚拟机中进行测试.

前言


版权声明:本文为本博主在CSDN的原创文章搬运而来,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。                          

原文链接:https://blog.csdn.net/weixin_72543266/article/details/136521262


本次应急靶机题目训练主要是为了应对接下来的护网面试和比赛,顺便提高一下自己对应急和溯源的实战能力,这里有两个逗比的事情发生,一是用D盾分析的时候,电脑环境监测到了,把要分析的马杀了,二是,发现无法使用脚本,在自己本机实验,电脑差点搞崩,还好佬在制作时候只是单次运行会占用.切记不要本机实验,一定要在虚拟机中进行测试. 前情,是由 知攻善防实验室发出的应急靶机训练,微信搜就可以了,也可以看原文章有下载链接.

 

1.挑战内容

1.1 前景需要:

小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容,并作为

通关条件:

1.攻击者的shell密码

2.攻击者的IP地址

3.攻击者的隐藏账户名称

4.攻击者挖矿程序的矿池域名(仅域名)

5.有实力的可以尝试着修复漏洞

1.2 关于靶机启动

使用Vmware启动即可,如启动错误,请升级至Vmware17.5以上

这里本人因为使用的是Vmware15,运行失败,经过搜索发现直接更新就行,然后去官网搜了一个,直接下载最新版,然后运行exe文件,就会进行更新,原先的文件和记录不会消失,可以放心安装

1.3 靶机环境:

Windows Server 2022

phpstudy(小皮面板)

2. 题解

1.如何查看自己的题解是否正确?

桌面上有一个administrator用户的桌面上解题程序,输入正确答案即可解题。

相关账户密码

用户:administrator

密码:Zgsf@admin.com

image.gif

2.题目分析

这里对题目进行分析,本题或是本靶机的重点在于对服务器系统的分析,靶机的phpstudy(小皮面板)代表服务器环境,确定目标,小皮的环境

2.1,题目1--shell密码

首先找到shell,看到这里我想起来之前做ctf的时候做过的一道题目,这里查找shell的方式可以用杀毒软件进行查杀,目标服务器www目录下,会放着服务

1.找到WWW目录

打开小皮,在小皮的管理中打开跟目录.

2.题目分析

这里对题目进行分析,本题或是本靶机的重点在于对服务器系统的分析,靶机的phpstudy(小皮面板)代表服务器环境,确定目标,小皮的环境

2.1,题目1--shell密码

首先找到shell,看到这里我想起来之前做ctf的时候做过的一道题目,这里查找shell的方式可以用杀毒软件进行查杀,目标服务器www目录下,会放着服务

1.找到WWW目录

打开小皮,在小皮的管理中打开跟目录.

image.gif

会直接进入网站跟目录中,然后分析的话,常见操作可以自己去找,分析一些上传的目录,这里我懒了,直接上传D盾

2.使用D盾

这里直接靶D盾上传进入靶机环境中,具体方法可以使用U盘和虚拟机的toos直接拖入,具体可以直接在网上搜

image.gif

在靶场中打开D盾,打开查杀,然后扫描WWW目录,将扫描目录的地址,改为上面打开的跟目录,进行扫描,很快就出结果了,发现shell文件,然后呢,电脑杀没了,寄

image.gif

还好,应该是电脑自带的安全中心,在扫描发现后,直接杀掉了,这里可以打开安全中心,进行复原,复原后再次扫描就可以看到了

image.gif

然后右键,查看文件,发现默认密码,搜了一下,是冰蝎的默认密码,小白一个,没用过冰蝎还停留在蚁剑

image.gif

3.(^o^)/获取到shell密码

获取到shell的连接密码rebeyond

2.2--攻击者的IP地址

1.寻找日志

既然是寻找ip地址,通常方式就是从入侵者所做的事情来进行分析,那么日志和流量包都是分析的重要目标

还是先点开跟目录,然后找到Apache服务器的日志,进行分析

image.gif

image.gif

image.gif

对于小白的我来说,既然对方上传了木马shell文件,那么日志肯定是会有记录的,这就是突破点,直接ctrl+f进行搜索shell.php

2.(^o^)/找到黑客IP地址

192.168.126.1

image.gif

2.3--攻击者的隐藏账号名称

既然攻击者进行了隐藏账号,那我们可以进行反推,对方进行了登录,并隐藏了账号

1.分析日志

既然获取到了ip,在分析日志到ip前,不要忽略掉,黑客常用操作弱口令爆破,也是我常用的招式

image.gif

发现有大量爆破行为,猜测存在弱口令

既然要进一步分析,我们可以做的方式还是很多,但对我这个弱鸡来说,用工具来分析是不二之选,当然最近也出了一个分析平台也不错,我还是比较习惯使用蓝队集成工具箱的日志分析功能,进行分析,这里使用win日志一键分析

image.gif

image.gif

根据分析确定应该是通过弱口令进行远程桌面登录,然后使用工具进行查看远程桌面登陆成功日志

2.(^o^)/找到隐藏账户名称

通过后面的IP我们确定是攻击者的隐藏账户

hack168$

image.gif

1.寻找可疑文件

经过上一步的分析,我们发现未知名用户,找到该用户文件夹位置,在该用户的桌面部分,发现可疑的文件

image.gif

正常操作应该是把这个文件打开,但他自己都差点把矿这个字都写出来了,并且也确定是攻击者的,那么这个就是挖矿程序了

2.对可疑文件进行反编译

这里看到这个图标对于经常讲python进行打包为exe文件的我来说很熟悉了,使用了pyinstaller打包,使用pyinstxtractor进行反编译

https://github.com/extremecoders-re/pyinstxtractor

这里把kuang.exe放在工具的目录下,注意要使用.\,这里用工具然后进行反编译

image.gif

3.在线反编译

在解包的Kuang.exe_extracted下找到pyc,用下面的在线反编译进行分析

python反编译 - 在线工具

image.gif

使用方法就是找到Kuang.exe_extracted下找到pyc,然后就会出现源代码.

python文件在被import运行的时候会在同目录下编译一个pyc的文件(为了下次快速加载),这个文件可以和py文件一样使用,但无法阅读和修改;python工具支持将pyc文件反编译为py文件(可能会存在部分文件无法反编译)。

image.gif

4.(^o^)/得到矿池域名

http://wakuang.zhigongshanfang.top

3.答案总结

1.    rebeyond

2.   192.168.126.1

3.    hack168$

4.    http://wakuang.zhigongshanfang.top

image.gif

在输入完最后一个域名后,程序会自动关闭,注意输入答案时,不要在答案前留空格不然也会关闭.

相关文章
|
1月前
|
移动开发 开发者 HTML5
构建响应式Web界面:Flexbox与Grid的实战应用
【10月更文挑战第22天】随着互联网的普及,用户对Web界面的要求越来越高,不仅需要美观,还要具备良好的响应性和兼容性。为了满足这些需求,Web开发者需要掌握一些高级的布局技术。Flexbox和Grid是现代Web布局的两大法宝,它们分别由CSS3和HTML5引入,能够帮助开发者构建出更加灵活和易于维护的响应式Web界面。本文将深入探讨Flexbox和Grid的实战应用,并通过具体实例来展示它们在构建响应式Web界面中的强大能力。
42 3
|
2月前
|
前端开发 JavaScript Python
Python Web应用中的WebSocket实战:前后端分离时代的实时数据交换
在前后端分离的Web应用开发模式中,如何实现前后端之间的实时数据交换成为了一个重要议题。传统的轮询或长轮询方式在实时性、资源消耗和服务器压力方面存在明显不足,而WebSocket技术的出现则为这一问题提供了优雅的解决方案。本文将通过实战案例,详细介绍如何在Python Web应用中运用WebSocket技术,实现前后端之间的实时数据交换。
103 0
|
3天前
|
安全 应用服务中间件 网络安全
实战经验分享:利用免费SSL证书构建安全可靠的Web应用
本文分享了利用免费SSL证书构建安全Web应用的实战经验,涵盖选择合适的证书颁发机构、申请与获取证书、配置Web服务器、优化安全性及实际案例。帮助开发者提升应用安全性,增强用户信任。
|
1月前
|
设计模式 前端开发 数据库
Python Web开发:Django框架下的全栈开发实战
【10月更文挑战第27天】本文介绍了Django框架在Python Web开发中的应用,涵盖了Django与Flask等框架的比较、项目结构、模型、视图、模板和URL配置等内容,并展示了实际代码示例,帮助读者快速掌握Django全栈开发的核心技术。
169 45
|
1天前
|
弹性计算 Java 数据库
Web应用上云经典架构实战
本课程详细介绍了Web应用上云的经典架构实战,涵盖前期准备、配置ALB、创建服务器组和监听、验证ECS公网能力、环境配置(JDK、Maven、Node、Git)、下载并运行若依框架、操作第二台ECS以及验证高可用性。通过具体步骤和命令,帮助学员快速掌握云上部署的全流程。
|
1月前
|
机器学习/深度学习 数据采集 Docker
Docker容器化实战:构建并部署一个简单的Web应用
Docker容器化实战:构建并部署一个简单的Web应用
|
1月前
|
前端开发 API 开发者
Python Web开发者必看!AJAX、Fetch API实战技巧,让前后端交互如丝般顺滑!
在Web开发中,前后端的高效交互是提升用户体验的关键。本文通过一个基于Flask框架的博客系统实战案例,详细介绍了如何使用AJAX和Fetch API实现不刷新页面查看评论的功能。从后端路由设置到前端请求处理,全面展示了这两种技术的应用技巧,帮助Python Web开发者提升项目质量和开发效率。
52 1
|
1月前
|
SQL 负载均衡 安全
安全至上:Web应用防火墙技术深度剖析与实战
【10月更文挑战第29天】在数字化时代,Web应用防火墙(WAF)成为保护Web应用免受攻击的关键技术。本文深入解析WAF的工作原理和核心组件,如Envoy和Coraza,并提供实战指南,涵盖动态加载规则、集成威胁情报、高可用性配置等内容,帮助开发者和安全专家构建更安全的Web环境。
62 1
|
1月前
|
安全 数据库 开发者
Python Web开发:Django框架下的全栈开发实战
【10月更文挑战第26天】本文详细介绍了如何在Django框架下进行全栈开发,包括环境安装与配置、创建项目和应用、定义模型类、运行数据库迁移、创建视图和URL映射、编写模板以及启动开发服务器等步骤,并通过示例代码展示了具体实现过程。
59 2
|
3月前
|
JSON Rust 安全
30天拿下Rust之实战Web Server
30天拿下Rust之实战Web Server
80 7