Windows靶机应急响应(一)
靶机地址
前来挑战!应急响应靶机训练-Web1
响应背景
(1)攻击者留下的shell
(2)攻击者的IP
(3)攻击者隐藏的账户名称
(4)攻击者挖矿程序的矿池域名
响应流程总结
(1)工具查杀——webshell
(2)日志分析——IP,隐藏用户
(3)系统操作排查——挖矿程序
渗透复现
Emlog Pro 任意文件上传漏洞(CVE-2023-44974)-CSDN博客
关于靶机启动问题
一、VM报错靶机不兼容
(修改vmx文件版本值)
(1)将靶机安装包下载解压后,需要修改vmx文件的版本值,否则会不兼容报错
(2)记事本打开vmx文件,将其版本值修改为16
二、安装响应工具
(1)靶机安装查杀工具D盾(或者安装蓝队工具箱,一应俱全)
(工具安装可以通过文件共享到靶机或者靶机访问链接下载)
工具箱链接 夸克网盘分享
响应流程
靶机背景
(1)进入靶机环境,打开解题EXE
(2)拿到解题背景
一、后门查杀
(1)打开小皮,进入网站根目录
(2)管理员身份启动D盾(建议做完这步后去把靶机防火墙关掉)
(3)复制网站根目录路径,或者直接将根目录拖到D盾中
(4)D盾扫描,找到后门,但是被靶机的防火墙查杀了
(5)找到windows安全中心中的保护历史记录
(6)还原被查杀的后门
(7)D盾再次扫描
(8)右键查看webshell(拿到shell密码)
二、日志分析
(1)找到日志文件
(2)查杀的webshell的名字为shell,所以攻击者对shell文件有进行操作(日志中记录)
(3)找到攻击者的IP地址
三、系统用户排查
方法一控制面板排查隐藏用户
日志分析工具排查隐藏用户
四、系统操作排查
(1)在隐藏用户桌面找到可疑程序
(2)查看下文件属性结合图标,python伪装的exe文件
(3)利用pyinstxtractor,对程序进行反编译,把可疑程序从靶机中放到反编译工具目录下
(此工具需要安装到真实主机中,靶机没有python环境)
GitHub - extremecoders-re/pyinstxtractor: PyInstaller Extractor
(4)工具目录下启动终端,对可疑程序进行反编译
python .pyinstxtractor.py Kuang.exe
(5)反编译完成,在生成的Kuang.exe_extracted目录下找到.pyc文件
(7)利用下面的在线编译环境,找到矿池域名
python反编译 - 在线工具
关于挖矿那些事,参考文章链接 说说挖矿、矿机和矿池的那些事儿 - 知乎
相关知识
Windows靶机应急响应(一)
Windows应急响应靶机
[护网训练]应急响应靶机整理
前来挑战!应急响应靶机训练
【题解】应急响应靶机训练
应急响应靶机训练
知攻善防Web1应急靶机笔记
保障中心组织开展应急救援紧急拉动训练 强化应急响应能力提升
台风“小犬”逼近 广东提升防风应急响应至Ⅲ级
应急响应web3靶场实战
网址: Windows靶机应急响应(一) https://m.mcbbbk.com/newsview206342.html
| 上一篇: 前来挑战!应急响应靶机训练 |
下一篇: 广州市举行突发事件现场指挥部综合 |
