应急响应靶场-Web1

挑战内容

前景需要:

小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件:

1.攻击者的shell密码

2.攻击者的IP地址

3.攻击者的隐藏账户名称

4.攻击者挖矿程序的矿池域名(仅域名)

5.有实力的可以尝试着修复漏洞

关于靶机启动

使用Vmware启动即可,如启动错误,请升级至Vmware17.5以上

靶机环境:

Windows Server 2022

phpstudy(小皮面板)

题解

如何查看自己的题解是否正确?

桌面上有一个administrator用户的桌面上解题程序

输入正确答案即可解题。

相关账户密码

用户:administrator

密码:Zgsf@admin.com

解题

攻击者的shell密码

想要拿到攻击者的shell密码,我们的思路就是攻击者利用我们web上的服务进行了文件上传,连接了webshell,那么我们的web目录下面一定存在webshell!

接下来我们利用phpstudy,打开网站的根目录:

打开目录之后,看到了下面的这些文件:

这里我尝试边进行应急,边进行攻击的方法进行学习。

查看了当前的主机的IP地址,同时也查看了开放的端口信息,发现主机开放了80端口。访问之后,发现是emlog搭建的博客站点!

查看网站的日志信息:

发现最下面存在shell的文件,那就看一下这个路径下面是否存在这个shell.php文件!

确实是存在这个文件的!打开这个文件会发现:

这是冰蝎的php webshell,连接的密钥就是rebeyond,当然了这里也是完全可以直接上传webshell的查杀工具,直接进行查杀!

这是河马的webshell查杀显示的结果,发现了冰蝎的php后门!到此第一个题目也就迎刃而解了:

攻击者的IP地址

很明显上面我们在访问日志的时候,已经看到了日志中,仅有一个IP地址在不断的访问webshell地址,进行通信!

那么就判断攻击者的IP地址就是192.168.126.1

攻击者的隐藏账户的名称

利用win+R键:选择计算机管理:

查看本地用户和组,发现了隐藏账号hack168$

当然利用命令:wmic useraccount get name,sid 也可以查看:

此时第三题也已经被我们解出来了:

攻击者挖矿程序的矿池域名

根据上面我们已经找到了存在一个用户hack168,于是看了一下这个用户桌面上的文件,发现了一个Kuang的文件:

打开之后,就会发现cpu飙升!

上传微步云沙箱进行分析:

该程序是一个利用pyinstaller打包的程序!可以进行反编译:

https://github.com/extremecoders-re/pyinstxtractor/releases/tag/2024.04

拿到了pyc的文件!尝试反编译打开看一下:

最终拿到了挖矿的域名:wakuang.zhigongshanfang.top

攻击复现

端口开放的比较多,既然是上传的webshell,肯定是从web服务上打开了突破点:

后台登录入口放在首页上了!没有验证码等信息,尝试进行爆破。先尝试了弱口令就发现可以进去:

admin/123456

一般这种博客都是存在文件上传的!比如在扩展和插件的地方就是可以上传!wordpress很多漏洞就是出现在这上面!

写一个webshell。然后将webshell进行压缩,压缩成zip,zip的文件名和webshell的文件名保持一致才可以!

这个过程需要将windows防护墙等关闭,现实来说都是开启的~

上传成功之后,访问:http://172.16.250.4/content/plugins/q/q.php

使用冰蝎进行连接!可以看到成功连接!

相关推荐
Piko6144 小时前
H3C IRF2 堆叠实战:打造高可靠核心交换网络
运维·网络·笔记
技术不好的崎鸣同学4 小时前
[ACTF2020 新生赛]Exec 思路及解法
算法·安全·web安全
茯苓gao6 小时前
嵌入式开发笔记:CANopen相关移位运算与通信协议术语详解
网络·嵌入式硬件·学习·信息与通信
万联WANFLOW6 小时前
SD-WAN 控制平面高可用怎么做?SDWAN 控制器挂了,全网会发生什么
运维·网络·分布式·架构
酱学编程7 小时前
【从零到一实现一个 AI Agent 框架 · 第四篇】04. 任务规划:拆解复杂目标 -
服务器·网络·数据库·人工智能
被克制了8 小时前
安全协议设计与分析(2)
网络安全·密码学·安全协议
风行南方8 小时前
密码学之分组密码
网络·密码学
艾莉丝努力练剑9 小时前
OpenCode AI 编程:Ubuntu 24.04 环境安装与使用指南
linux·服务器·网络·人工智能·tcp/ip·ubuntu
HERR_QQ10 小时前
强化学习的数学原理 学习笔记
人工智能·笔记·学习·自动驾驶
云水一下10 小时前
DVWA从入门到精通(十一):XSS (Stored)(存储型XSS)
web安全·xss·dvwa·存储型