前言
版权声明:本文为本博主在CSDN的原创文章搬运而来,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
原文链接:https://blog.csdn.net/weixin_72543266/article/details/136521262
本次应急靶机题目训练主要是为了应对接下来的护网面试和比赛,顺便提高一下自己对应急和溯源的实战能力,这里有两个逗比的事情发生,一是用D盾分析的时候,电脑环境监测到了,把要分析的马杀了,二是,发现无法使用脚本,在自己本机实验,电脑差点搞崩,还好佬在制作时候只是单次运行会占用.切记不要本机实验,一定要在虚拟机中进行测试. 前情,是由 知攻善防实验室发出的应急靶机训练,微信搜就可以了,也可以看原文章有下载链接.
1.挑战内容
1.1 前景需要:
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容,并作为
通关条件:
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名(仅域名)
5.有实力的可以尝试着修复漏洞
1.2 关于靶机启动
使用Vmware启动即可,如启动错误,请升级至Vmware17.5以上
这里本人因为使用的是Vmware15,运行失败,经过搜索发现直接更新就行,然后去官网搜了一个,直接下载最新版,然后运行exe文件,就会进行更新,原先的文件和记录不会消失,可以放心安装
1.3 靶机环境:
Windows Server 2022
phpstudy(小皮面板)
2. 题解
1.如何查看自己的题解是否正确?
桌面上有一个administrator用户的桌面上解题程序,输入正确答案即可解题。
相关账户密码
用户:administrator
2.题目分析
这里对题目进行分析,本题或是本靶机的重点在于对服务器系统的分析,靶机的phpstudy(小皮面板)代表服务器环境,确定目标,小皮的环境
2.1,题目1--shell密码
首先找到shell,看到这里我想起来之前做ctf的时候做过的一道题目,这里查找shell的方式可以用杀毒软件进行查杀,目标服务器www目录下,会放着服务
1.找到WWW目录
打开小皮,在小皮的管理中打开跟目录.
2.题目分析
这里对题目进行分析,本题或是本靶机的重点在于对服务器系统的分析,靶机的phpstudy(小皮面板)代表服务器环境,确定目标,小皮的环境
2.1,题目1--shell密码
首先找到shell,看到这里我想起来之前做ctf的时候做过的一道题目,这里查找shell的方式可以用杀毒软件进行查杀,目标服务器www目录下,会放着服务
1.找到WWW目录
打开小皮,在小皮的管理中打开跟目录.
会直接进入网站跟目录中,然后分析的话,常见操作可以自己去找,分析一些上传的目录,这里我懒了,直接上传D盾
2.使用D盾
这里直接靶D盾上传进入靶机环境中,具体方法可以使用U盘和虚拟机的toos直接拖入,具体可以直接在网上搜
在靶场中打开D盾,打开查杀,然后扫描WWW目录,将扫描目录的地址,改为上面打开的跟目录,进行扫描,很快就出结果了,发现shell文件,然后呢,电脑杀没了,寄
还好,应该是电脑自带的安全中心,在扫描发现后,直接杀掉了,这里可以打开安全中心,进行复原,复原后再次扫描就可以看到了
然后右键,查看文件,发现默认密码,搜了一下,是冰蝎的默认密码,小白一个,没用过冰蝎还停留在蚁剑
3.(^o^)/获取到shell密码
获取到shell的连接密码rebeyond
2.2--攻击者的IP地址
1.寻找日志
既然是寻找ip地址,通常方式就是从入侵者所做的事情来进行分析,那么日志和流量包都是分析的重要目标
还是先点开跟目录,然后找到Apache服务器的日志,进行分析
对于小白的我来说,既然对方上传了木马shell文件,那么日志肯定是会有记录的,这就是突破点,直接ctrl+f进行搜索shell.php
2.(^o^)/找到黑客IP地址
192.168.126.1
2.3--攻击者的隐藏账号名称
既然攻击者进行了隐藏账号,那我们可以进行反推,对方进行了登录,并隐藏了账号
1.分析日志
既然获取到了ip,在分析日志到ip前,不要忽略掉,黑客常用操作弱口令爆破,也是我常用的招式
发现有大量爆破行为,猜测存在弱口令
既然要进一步分析,我们可以做的方式还是很多,但对我这个弱鸡来说,用工具来分析是不二之选,当然最近也出了一个分析平台也不错,我还是比较习惯使用蓝队集成工具箱的日志分析功能,进行分析,这里使用win日志一键分析
根据分析确定应该是通过弱口令进行远程桌面登录,然后使用工具进行查看远程桌面登陆成功日志
2.(^o^)/找到隐藏账户名称
通过后面的IP我们确定是攻击者的隐藏账户
hack168$
1.寻找可疑文件
经过上一步的分析,我们发现未知名用户,找到该用户文件夹位置,在该用户的桌面部分,发现可疑的文件
正常操作应该是把这个文件打开,但他自己都差点把矿这个字都写出来了,并且也确定是攻击者的,那么这个就是挖矿程序了
2.对可疑文件进行反编译
这里看到这个图标对于经常讲python进行打包为exe文件的我来说很熟悉了,使用了pyinstaller打包,使用pyinstxtractor进行反编译
https://github.com/extremecoders-re/pyinstxtractor
这里把kuang.exe放在工具的目录下,注意要使用.\,这里用工具然后进行反编译
3.在线反编译
在解包的Kuang.exe_extracted下找到pyc,用下面的在线反编译进行分析
使用方法就是找到Kuang.exe_extracted下找到pyc,然后就会出现源代码.
python文件在被import运行的时候会在同目录下编译一个pyc的文件(为了下次快速加载),这个文件可以和py文件一样使用,但无法阅读和修改;python工具支持将pyc文件反编译为py文件(可能会存在部分文件无法反编译)。
4.(^o^)/得到矿池域名
http://wakuang.zhigongshanfang.top
3.答案总结
1. rebeyond
2. 192.168.126.1
3. hack168$
4. http://wakuang.zhigongshanfang.top
在输入完最后一个域名后,程序会自动关闭,注意输入答案时,不要在答案前留空格不然也会关闭.
