【应急响应】应急响应靶机训练

【应急响应】应急响应靶机训练

基本介绍

小李在值守的过程中发现有CPU占用飙升，出于胆子小就立刻将服务器关机，这是他的服务器统，请你出以下内容并作为通关条件：

1. 攻击者的shell密码
2. 攻击者的IP地址
3. 攻击者的隐藏账户名称
4. 攻击者挖矿程序的矿池域名

环境构建

下载靶机并使用VMware Workstation打开：

账号密码：

用户:administrator
密码:Zgsf@admin

靶场题目

运行桌面的"解题"程序后会出现如下界面：

题目内容如下：

1.攻击者的shell密码
2.攻击者的IP地址
.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名

解题过程

第一问答

靶机的第一个问题是"攻击者的shell密码"，我们直接上传D盾对WEB目录进行查杀：

随后定位到webshell，打开文件即可获取到webshell的链接密码——rebeyond

第二问答

靶机的第二个问题是"攻击者的IP地址"，关于这一点我们需要通过日志进行分析，直接进入到Apache日志目录下打开access.log文件后全局检索"shell.php"，从中可以发现请求IP地址源自192.168.126.1

第三问答

靶机的第三个问题是"攻击者的隐藏账户名称"，这一个问题我们可以直接使用D盾的"克隆检测"功能进行检测，从中发现账号——hack168$

第四问答

靶机的第四个问题是"攻击者挖矿程序的矿池域名"，这一个问题属实把人给难到了，既然有一个隐藏账号，那么我们不妨进入这个隐藏账号的文件夹(C:\Users\hack168$)看看有没有什么东西，随后发现在桌面存在可疑的exe程序 ：

图标为pyinstaller打包，所以我们这里使用pyinstxtractor进行反编译

随后得到得到pyc文件：

随后再使用在线pyc反编译工具(/)得到源码，从下面我们可以得到矿池的地址——

文末小结

本篇文章通过这一个应急靶机我们学到的知识主要有通过D盾查杀webshell，随后对影子账号的恶意操作进行排查以及如何将python编译成的EXE程序反编译为Python源代码程序并从中获取关键的信息~