小李在值守的过程中发现有CPU占用飙升,出于胆子小就立刻将服务器关机,这是他的服务器统,请你找出以下内容并作为通关条件:
下载靶机并使用VMware Workstation打开:
账号密码:
用户:administrator
密码:Zgsf@admin.com
运行桌面的"解题"程序后会出现如下界面:
题目内容如下:
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名
靶机的第一个问题是"攻击者的shell密码",我们直接上传D盾对WEB目录进行查杀:
随后定位到webshell,打开文件即可获取到webshell的链接密码——rebeyond
靶机的第二个问题是"攻击者的IP地址",关于这一点我们需要通过日志进行分析,直接进入到Apache日志目录下打开access.log文件后全局检索"shell.php",从中可以发现请求IP地址源自192.168.126.1
靶机的第三个问题是"攻击者的隐藏账户名称",这一个问题我们可以直接使用D盾的"克隆检测"功能进行检测,从中发现账号——hack168$
靶机的第四个问题是"攻击者挖矿程序的矿池域名",这一个问题属实把人给难到了,既然有一个隐藏账号,那么我们不妨进入这个隐藏账号的文件夹(C:\Users\hack168$)看看有没有什么东西,随后发现在桌面存在可疑的exe程序 :
图标为pyinstaller打包,所以我们这里使用pyinstxtractor进行反编译
https://github.com/extremecoders-re/pyinstxtractor
随后得到得到pyc文件:
随后再使用在线pyc反编译工具(https://tool.lu/pyc/)得到源码,从下面我们可以得到矿池的地址——http://wakuang.zhigongshanfang.top
本篇文章通过这一个应急靶机我们学到的知识主要有通过D盾查杀webshell,随后对影子账号的恶意操作进行排查以及如何将python编译成的EXE程序反编译为Python源代码程序并从中获取关键的信息~