Windows应急响应靶机
一、靶机介绍
应急响应靶机训练-Web1
前景需要:
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名
用户:
administrator
密码
Zgsf@admin.com
二、解题过程
第一题需要找到shell的密码
打开PHP study,找到web的物理路径,打开
使用D盾扫描,进行发现已知后门
打开webshell文件
找到shell连接密码,使用在线md5解密网站解密,得到rebeyond
输入答案,解题成功
需要寻找攻击者的ip地址,我们可以分析web网站的日志获得
打开日志文件,直接Ctrl+F搜索shell.php,找到攻击者的IP地址192.168.126.1
输入答案192.168.126.1
接下来需要找到攻击者的隐藏账户名称,我们可以直接查看D盾的克隆账号检测工具栏,分析隐藏账号hack168$
除了使用D盾外,我们还可以通过分析windows日志获取结果
使用APT-Hunter工具的powershell日志收集器自动收集日志信息,将得到的日志解压
使用APT-Hunter.exe工具分析导出来的结果
APT-Hunter.exe -p C:UsersAdministratorDesktoplogswineventlog -o Project1 -allreport -p:提供包含使用powershell日志收集器提取的日志的解压路径 -o:输出生成项目的名称 1234
查看终端服务登录sheet发现存在hack168$和Administrator用户登录靶机
查看日志里面的安全事件,发现创建用户hack168 和把 h a c k 168 和把hack168 和把hack168加入管理员组的日志,可以确认hack168$为攻击者的隐藏账户名称
将hack168$用户名提交,解题正确
在hack168KaTeX parse error: Undefined control sequence: Users at position 19: …桌面发现一个可执行程序,`C:̲U̲s̲e̲r̲s̲hack168`
点击该文件执行,CPU和内存瞬间跑满,可以确认该文件为挖矿程序
分析该文件,该图标为pyinstaller打包
使用pyinstxtractor进行反编译
python pyinstxtractor.py Kuang.exe 1
得到pyc文件
使用在线pyc反编译工具,得到源码
https://tool.lu/pyc/ 1
得到矿池域名:wakuang.zhigongshanfang.top
将答案提交,靶机攻破
相关知识
Windows应急响应靶机
【题解】应急响应靶机训练
知攻善防Web1应急靶机笔记
台风“小犬”逼近 广东提升防风应急响应至Ⅲ级
Windows系统的桌面部署Desktop Deployment(4)
动物伤人应急预案
疫情期间宠物救助应急预案.docx
消防应急演练效果评估总结(精选18篇)
最新消防的应急预案脚本(15篇)
Windows搭建WordPress博客网站:配置SSL证书 5/5
网址: Windows应急响应靶机 https://m.mcbbbk.com/newsview206336.html
| 上一篇: [护网训练]应急响应靶机整理 |
下一篇: 体系运行微讲坛丨 如何有效的通过 |
