前往小程序,Get更优阅读体验!
立即前往
发布
社区首页 >专栏 >【应急响应】应急响应靶机训练-Web2

【应急响应】应急响应靶机训练-Web2

作者头像
Al1ex
发布2025-01-07 10:19:30
发布2025-01-07 10:19:30
790
举报
文章被收录于专栏:网络安全攻防
基本介绍

小李在值守的过程中发现有CPU占用飙升,出于胆子小就立刻将服务器关机,这是他的服务器统,请你找出以下内容并作为通关条件:

  1. 攻击者的shell密码
  2. 攻击者的IP地址
  3. 攻击者的隐藏账户名称
  4. 攻击者挖矿程序的矿池域名
环境构建

下载靶机并使用VMware Workstation打开:

账号密码:

代码语言:javascript
复制
用户:administrator
密码:Zgsf@admin.com
靶场题目

运行桌面的"解题"程序后会出现如下界面:

题目内容如下:

代码语言:javascript
复制
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名
解题过程
第一问答

靶机的第一个问题是"攻击者的shell密码",我们直接上传D盾对WEB目录进行查杀:

随后定位到webshell,打开文件即可获取到webshell的链接密码——rebeyond

第二问答

靶机的第二个问题是"攻击者的IP地址",关于这一点我们需要通过日志进行分析,直接进入到Apache日志目录下打开access.log文件后全局检索"shell.php",从中可以发现请求IP地址源自192.168.126.1

第三问答

靶机的第三个问题是"攻击者的隐藏账户名称",这一个问题我们可以直接使用D盾的"克隆检测"功能进行检测,从中发现账号——hack168$

第四问答

靶机的第四个问题是"攻击者挖矿程序的矿池域名",这一个问题属实把人给难到了,既然有一个隐藏账号,那么我们不妨进入这个隐藏账号的文件夹(C:\Users\hack168$)看看有没有什么东西,随后发现在桌面存在可疑的exe程序 :

图标为pyinstaller打包,所以我们这里使用pyinstxtractor进行反编译

代码语言:javascript
复制
https://github.com/extremecoders-re/pyinstxtractor

随后得到得到pyc文件:

随后再使用在线pyc反编译工具(https://tool.lu/pyc/)得到源码,从下面我们可以得到矿池的地址——http://wakuang.zhigongshanfang.top

文末小结

本篇文章通过这一个应急靶机我们学到的知识主要有通过D盾查杀webshell,随后对影子账号的恶意操作进行排查以及如何将python编译成的EXE程序反编译为Python源代码程序并从中获取关键的信息~

本文参与 腾讯云自媒体同步曝光计划,分享自微信公众号。
原始发表:2025-01-06,如有侵权请联系 cloudcommunity@tencent.com 删除

本文分享自 七芒星实验室 微信公众号,前往查看

如有侵权,请联系 cloudcommunity@tencent.com 删除。

本文参与 腾讯云自媒体同步曝光计划  ,欢迎热爱写作的你一起参与!

评论
登录后参与评论
0 条评论
热度
最新
推荐阅读
目录
  • 基本介绍
  • 环境构建
  • 靶场题目
  • 解题过程
    • 第一问答
    • 第二问答
    • 第三问答
    • 第四问答
  • 文末小结
领券
问题归档专栏文章快讯文章归档关键词归档开发者手册归档开发者手册 Section 归档