应急响应靶机练习-Web1

一、靶场介绍

这是一台知攻善防实验室的应急响应靶机,方便大家练习一下应急响应的流程和操作。

前景需要:

小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:

1.攻击者的shell密码

2.攻击者的IP地址

3.攻击者的隐藏账户名称

4.攻击者挖矿程序的矿池域名

用户:

administrator

密码

Zgsf@admin.com

本人尝试复现了攻击过程。

(1)利用弱口令获得网站管理员的用户名和密码,利用插件漏洞,建立shell连接

应该admin/admin

发现有个上传插件的功能,上传插件zip时候,会把zip包解压,可以在zip包加入自己的php shell,从而实现控制。

(2)利用插件上传漏洞,上传shell

从网上任意下载一个免费插件,写入一个一句话木马shell3.php加入目录中

上传后,在主机目录下就会有:

利用sword连接

(2)新建一个用户,开启远程桌面,运行挖矿程序

由于phpstudy是administrator运行的,因此上述shell有最高权限,直接用命令行建立一个新用户,并加入管理员组

二、溯源过程

通过模拟攻击,大概知道了攻击者的过程,因此溯源也有固定思路:

(1)查看web日志

发现攻击者ip和攻击shell

用D盾可以直接检测,其实系统杀毒软件也可以检测出来。

(2)查看系统日志

查看远程登陆日志

查看用户添加情况,新增了一个hack168$用户,haha用户是我自己测试添加的

(3)逆向分析

使用pyinstxtractor逆向,发现矿的域名。

三、结果

相关推荐
LYFlied9 小时前
EVMbench解读:AI Agent如何检测、修复并利用智能合约漏洞
人工智能·网络安全·openai·智能合约·ai agent·evm·智能合约区块链
Hiyajo pray15 小时前
属性sdn隐私保护分析
网络安全
Hiyajo pray16 小时前
属性sdn的隐私保护策略(1)
网络安全
HackTwoHub17 小时前
某单位 CMS 完整渗透链、SQL 注入→后台拿权→绕过宝塔 Waf 上线 shell
数据库·人工智能·sql·安全·网络安全·系统安全·安全架构
杭州默安科技17 小时前
从告警到多防火墙联动封禁:智能体与XDR的自动化响应实践
人工智能·网络安全
云栖梦泽在19 小时前
跨境电商账号频繁验证怎么办?从公网 IP、ASN、浏览器环境到登录稳定性排查
网络·网络协议·tcp/ip·网络安全·性能优化
磐时信息技术2 天前
GB 44495/44496正式施行:智能网联汽车信息安全与软件升级进入强制合规阶段
网络安全·信息安全·汽车·gb44495·gb44496
被克制了2 天前
安全协议设计与分析(2)
网络安全·密码学·安全协议
Chockmans3 天前
春秋云境CVE-2021-42897(保姆级教学)
计算机网络·安全·web安全·网络安全·安全威胁分析·春秋云境·cve-2021-42897
四月天433 天前
web安全-SSTI(服务器模板注入)
笔记·学习·web安全·网络安全