记一次应急靶场实战--web1

本文涉及的产品
.cn 域名,1个 12个月
日志服务 SLS,月写入数据量 50GB 1个月
简介: 本次应急靶机题目训练主要是为了应对接下来的护网面试和比赛,顺便提高一下自己对应急和溯源的实战能力,这里有两个逗比的事情发生,一是用D盾分析的时候,电脑环境监测到了,把要分析的马杀了,二是,发现无法使用脚本,在自己本机实验,电脑差点搞崩,还好佬在制作时候只是单次运行会占用.切记不要本机实验,一定要在虚拟机中进行测试.

前言


版权声明:本文为本博主在CSDN的原创文章搬运而来,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。                          

原文链接:https://blog.csdn.net/weixin_72543266/article/details/136521262


本次应急靶机题目训练主要是为了应对接下来的护网面试和比赛,顺便提高一下自己对应急和溯源的实战能力,这里有两个逗比的事情发生,一是用D盾分析的时候,电脑环境监测到了,把要分析的马杀了,二是,发现无法使用脚本,在自己本机实验,电脑差点搞崩,还好佬在制作时候只是单次运行会占用.切记不要本机实验,一定要在虚拟机中进行测试. 前情,是由 知攻善防实验室发出的应急靶机训练,微信搜就可以了,也可以看原文章有下载链接.

 

1.挑战内容

1.1 前景需要:

小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容,并作为

通关条件:

1.攻击者的shell密码

2.攻击者的IP地址

3.攻击者的隐藏账户名称

4.攻击者挖矿程序的矿池域名(仅域名)

5.有实力的可以尝试着修复漏洞

1.2 关于靶机启动

使用Vmware启动即可,如启动错误,请升级至Vmware17.5以上

这里本人因为使用的是Vmware15,运行失败,经过搜索发现直接更新就行,然后去官网搜了一个,直接下载最新版,然后运行exe文件,就会进行更新,原先的文件和记录不会消失,可以放心安装

1.3 靶机环境:

Windows Server 2022

phpstudy(小皮面板)

2. 题解

1.如何查看自己的题解是否正确?

桌面上有一个administrator用户的桌面上解题程序,输入正确答案即可解题。

相关账户密码

用户:administrator

密码:Zgsf@admin.com

image.gif

2.题目分析

这里对题目进行分析,本题或是本靶机的重点在于对服务器系统的分析,靶机的phpstudy(小皮面板)代表服务器环境,确定目标,小皮的环境

2.1,题目1--shell密码

首先找到shell,看到这里我想起来之前做ctf的时候做过的一道题目,这里查找shell的方式可以用杀毒软件进行查杀,目标服务器www目录下,会放着服务

1.找到WWW目录

打开小皮,在小皮的管理中打开跟目录.

2.题目分析

这里对题目进行分析,本题或是本靶机的重点在于对服务器系统的分析,靶机的phpstudy(小皮面板)代表服务器环境,确定目标,小皮的环境

2.1,题目1--shell密码

首先找到shell,看到这里我想起来之前做ctf的时候做过的一道题目,这里查找shell的方式可以用杀毒软件进行查杀,目标服务器www目录下,会放着服务

1.找到WWW目录

打开小皮,在小皮的管理中打开跟目录.

image.gif

会直接进入网站跟目录中,然后分析的话,常见操作可以自己去找,分析一些上传的目录,这里我懒了,直接上传D盾

2.使用D盾

这里直接靶D盾上传进入靶机环境中,具体方法可以使用U盘和虚拟机的toos直接拖入,具体可以直接在网上搜

image.gif

在靶场中打开D盾,打开查杀,然后扫描WWW目录,将扫描目录的地址,改为上面打开的跟目录,进行扫描,很快就出结果了,发现shell文件,然后呢,电脑杀没了,寄

image.gif

还好,应该是电脑自带的安全中心,在扫描发现后,直接杀掉了,这里可以打开安全中心,进行复原,复原后再次扫描就可以看到了

image.gif

然后右键,查看文件,发现默认密码,搜了一下,是冰蝎的默认密码,小白一个,没用过冰蝎还停留在蚁剑

image.gif

3.(^o^)/获取到shell密码

获取到shell的连接密码rebeyond

2.2--攻击者的IP地址

1.寻找日志

既然是寻找ip地址,通常方式就是从入侵者所做的事情来进行分析,那么日志和流量包都是分析的重要目标

还是先点开跟目录,然后找到Apache服务器的日志,进行分析

image.gif

image.gif

image.gif

对于小白的我来说,既然对方上传了木马shell文件,那么日志肯定是会有记录的,这就是突破点,直接ctrl+f进行搜索shell.php

2.(^o^)/找到黑客IP地址

192.168.126.1

image.gif

2.3--攻击者的隐藏账号名称

既然攻击者进行了隐藏账号,那我们可以进行反推,对方进行了登录,并隐藏了账号

1.分析日志

既然获取到了ip,在分析日志到ip前,不要忽略掉,黑客常用操作弱口令爆破,也是我常用的招式

image.gif

发现有大量爆破行为,猜测存在弱口令

既然要进一步分析,我们可以做的方式还是很多,但对我这个弱鸡来说,用工具来分析是不二之选,当然最近也出了一个分析平台也不错,我还是比较习惯使用蓝队集成工具箱的日志分析功能,进行分析,这里使用win日志一键分析

image.gif

image.gif

根据分析确定应该是通过弱口令进行远程桌面登录,然后使用工具进行查看远程桌面登陆成功日志

2.(^o^)/找到隐藏账户名称

通过后面的IP我们确定是攻击者的隐藏账户

hack168$

image.gif

1.寻找可疑文件

经过上一步的分析,我们发现未知名用户,找到该用户文件夹位置,在该用户的桌面部分,发现可疑的文件

image.gif

正常操作应该是把这个文件打开,但他自己都差点把矿这个字都写出来了,并且也确定是攻击者的,那么这个就是挖矿程序了

2.对可疑文件进行反编译

这里看到这个图标对于经常讲python进行打包为exe文件的我来说很熟悉了,使用了pyinstaller打包,使用pyinstxtractor进行反编译

https://github.com/extremecoders-re/pyinstxtractor

这里把kuang.exe放在工具的目录下,注意要使用.\,这里用工具然后进行反编译

image.gif

3.在线反编译

在解包的Kuang.exe_extracted下找到pyc,用下面的在线反编译进行分析

python反编译 - 在线工具

image.gif

使用方法就是找到Kuang.exe_extracted下找到pyc,然后就会出现源代码.

python文件在被import运行的时候会在同目录下编译一个pyc的文件(为了下次快速加载),这个文件可以和py文件一样使用,但无法阅读和修改;python工具支持将pyc文件反编译为py文件(可能会存在部分文件无法反编译)。

image.gif

4.(^o^)/得到矿池域名

http://wakuang.zhigongshanfang.top

3.答案总结

1.    rebeyond

2.   192.168.126.1

3.    hack168$

4.    http://wakuang.zhigongshanfang.top

image.gif

在输入完最后一个域名后,程序会自动关闭,注意输入答案时,不要在答案前留空格不然也会关闭.

相关文章
|
1月前
|
移动开发 开发者 HTML5
构建响应式Web界面:Flexbox与Grid的实战应用
【10月更文挑战第22天】随着互联网的普及,用户对Web界面的要求越来越高,不仅需要美观,还要具备良好的响应性和兼容性。为了满足这些需求,Web开发者需要掌握一些高级的布局技术。Flexbox和Grid是现代Web布局的两大法宝,它们分别由CSS3和HTML5引入,能够帮助开发者构建出更加灵活和易于维护的响应式Web界面。本文将深入探讨Flexbox和Grid的实战应用,并通过具体实例来展示它们在构建响应式Web界面中的强大能力。
39 3
|
2月前
|
前端开发 JavaScript Python
Python Web应用中的WebSocket实战:前后端分离时代的实时数据交换
在前后端分离的Web应用开发模式中,如何实现前后端之间的实时数据交换成为了一个重要议题。传统的轮询或长轮询方式在实时性、资源消耗和服务器压力方面存在明显不足,而WebSocket技术的出现则为这一问题提供了优雅的解决方案。本文将通过实战案例,详细介绍如何在Python Web应用中运用WebSocket技术,实现前后端之间的实时数据交换。
92 0
|
28天前
|
设计模式 前端开发 数据库
Python Web开发:Django框架下的全栈开发实战
【10月更文挑战第27天】本文介绍了Django框架在Python Web开发中的应用,涵盖了Django与Flask等框架的比较、项目结构、模型、视图、模板和URL配置等内容,并展示了实际代码示例,帮助读者快速掌握Django全栈开发的核心技术。
139 45
|
24天前
|
前端开发 API 开发者
Python Web开发者必看!AJAX、Fetch API实战技巧,让前后端交互如丝般顺滑!
在Web开发中,前后端的高效交互是提升用户体验的关键。本文通过一个基于Flask框架的博客系统实战案例,详细介绍了如何使用AJAX和Fetch API实现不刷新页面查看评论的功能。从后端路由设置到前端请求处理,全面展示了这两种技术的应用技巧,帮助Python Web开发者提升项目质量和开发效率。
40 1
|
27天前
|
SQL 负载均衡 安全
安全至上:Web应用防火墙技术深度剖析与实战
【10月更文挑战第29天】在数字化时代,Web应用防火墙(WAF)成为保护Web应用免受攻击的关键技术。本文深入解析WAF的工作原理和核心组件,如Envoy和Coraza,并提供实战指南,涵盖动态加载规则、集成威胁情报、高可用性配置等内容,帮助开发者和安全专家构建更安全的Web环境。
48 1
|
29天前
|
安全 数据库 开发者
Python Web开发:Django框架下的全栈开发实战
【10月更文挑战第26天】本文详细介绍了如何在Django框架下进行全栈开发,包括环境安装与配置、创建项目和应用、定义模型类、运行数据库迁移、创建视图和URL映射、编写模板以及启动开发服务器等步骤,并通过示例代码展示了具体实现过程。
43 2
|
3月前
|
JSON Rust 安全
30天拿下Rust之实战Web Server
30天拿下Rust之实战Web Server
66 7
|
2月前
|
移动开发 前端开发 JavaScript
前端开发实战:利用Web Speech API之speechSynthesis实现文字转语音功能
前端开发实战:利用Web Speech API之speechSynthesis实现文字转语音功能
189 0
|
3月前
|
JavaScript 前端开发 数据安全/隐私保护
组件库实战 | 教你如何设计Web世界中的表单验证
该文章通过实战演练,教授了如何在Web应用中设计和实现表单验证,包括使用Vue.js处理表单输入的验证逻辑、展示错误信息以及通过插槽和组件间通信来增强表单的功能性和用户体验。
组件库实战 | 教你如何设计Web世界中的表单验证
|
3月前
|
缓存 中间件 网络架构
Python Web开发实战:高效利用路由与中间件提升应用性能
在Python Web开发中,路由和中间件是构建高效、可扩展应用的核心组件。路由通过装饰器如`@app.route()`将HTTP请求映射到处理函数;中间件则在请求处理流程中插入自定义逻辑,如日志记录和验证。合理设计路由和中间件能显著提升应用性能和可维护性。本文以Flask为例,详细介绍如何优化路由、避免冲突、使用蓝图管理大型应用,并通过中间件实现缓存、请求验证及异常处理等功能,帮助你构建快速且健壮的Web应用。
31 1