知攻善防Web1應急靶機筆記--詳解

Ling-X發表於2024-08-08
Web筆記

知攻善防Web1應急靶機筆記

概述

這是一臺知攻善防實驗室的應急響應靶機,方便大家練習一下應急響應的流程和操作。

靶機的前景概述:

前景需要:
小李在值守的過程中,發現有CPU佔用飆升,出於膽子小,就立刻將伺服器關機,這是他的伺服器系統,請你找出以下內容,並作為通關條件:

1.攻擊者的shell密碼
2.攻擊者的IP地址
3.攻擊者的隱藏賬戶名稱
4.攻擊者挖礦程式的礦池域名

使用者:
administrator
密碼
Zgsf@admin.com

靶機地址

提取碼:1gs2

0、前期配置

1)VM版本問題

拿到靶機我們會找到目錄的下的Window Server 2022.vmx檔案開啟會報一個錯

![image-20240807223524906](https://gitee.com/ling-x5/img/raw/master/image-20240807223524906.png #pic_left=80%)

我們需要去Window Server 2022.vmx右鍵,記事本開啟

image-20240807222815424 image-20240807223724320

我們開啟虛擬機器

2)防火牆問題

不關閉防火牆的話,看到web網站的後門指令碼會自動被windos的防火牆刪除掉

image-20240807224105892

我們關閉掉病毒和威脅防護

image-20240807224246111 image-20240807224442498 image-20240807224852372

1、第一題題解

1.攻擊者的shell密碼

我們在桌面上看到phpstudy,shell密碼應該是webshell的連線密碼,我們用D盾對phpstudy的目錄進行掃描,看看有沒有什麼明顯的後門檔案。

image-20240808123607406

看到有一個shell.php,右鍵開啟看看。

image-20240808123719787

這是一個冰蠍的webshell指令碼,預設密碼是rebeyond

2、第二題題解

2.攻擊者的IP地址

攻擊者的IP地址,攻擊者既然上傳了webshell檔案,那在我們的web日誌裡應該有相應的操作日誌。我們開啟日誌

image-20240808124214747

看日誌檔案大小,應該就是他了,我們開啟ctrl+f搜尋關鍵字shell.php

他既然上傳了這個webshell指令碼肯定會有相關的上傳和訪問的日誌產生

image-20240808124509202

這個訪問shell.php的流量大機率就是攻擊者做的,所以第二題 192.168.126.1

3、第三題題解

3.攻擊者的隱藏賬戶名稱

攻擊者的隱藏賬戶,我們可以去計算機管理的賬戶去檢視,我們搜尋 計算機管理

image-20240808125152859

開啟找到本地使用者和組

image-20240808125306426

發現有hack168$使用者,這就是隱藏賬戶。

4、第四題題解

4.攻擊者挖礦程式的礦池域名

1)找到挖礦程式

找到挖礦程式和礦池的域名,這裡我們要去hack168$賬戶去檢視駭客在他建立的賬戶裡進行了什麼操作。

我們是在管理員組的,所以我們有許可權去更改hack168$賬戶的密碼

C:\Users\Administrator>net user hack168$ 123456aa@
命令成功完成。

因為有密碼複雜度要求,我們把密碼改為了 123456aa@

我們按1win+l在虛擬機器的選項卡里傳送請求ctrl+alt+delete請求,切換到hack168$

image-20240808130352744 image-20240808130146054

登陸進來,我們就看到了一個叫kuang的可執行檔案,是用python的pyinstaller打包成的exe檔案。

image-20240808130658026

我們要找到礦池的域名,需要對這個python的打包出來的exe檔案進行反編譯,去看他裡面的原始碼

2)反編譯python程式

python的exe檔案反編譯要用到pyinstxtractor.py檔案和pycdc.exe檔案

我這裡也準備了對應的檔案 python反編譯
提取碼:nfw3

我們把 挖礦程式Kuang放到pyinstxtractor.py同一目錄下執行:

 python .\pyinstxtractor.py .\Kuang.exe

會生成Kuang.exe_extracted資料夾

image-20240808153325020

點進去,找到與我們反編譯檔案同名的檔案

image-20240808153659377

重新命名為Kuang.pyc

image-20240808153844455

為notepad++安裝HexEdit外掛:https://www.cnblogs.com/LING5/p/18349724

給pyc檔案新增magic頭:https://www.cnblogs.com/LING5/p/18349733

我們把新增好頭部的Kuang.pyc檔案複製到與pycdc.exe程式同目錄下執行:

.\pycdc.exe .\Kuang.pyc > Kuang.py

在同目錄下會有Kuang.py生成,這就是我們反編譯的檔案

image-20240808161717219

結果:

# Source Generated with Decompyle++
# File: Kuang.pyc (Python 3.8)

import multiprocessing
import requests

def cpu_intensive_task():
    
    try:
        requests.get('http://wakuang.zhigongshanfang.top', 10, **('timeout',))
    finally:
        continue
        continue

    continue

# WARNING: Decompyle incomplete

看到這個程式向域名wakuang.zhigongshanfang.top傳送GET請求

毫無疑問這個域名就是礦池

答案:wakuang.zhigongshanfang.top

5、提交

總結

1、我們先是用D盾對phpstudy的主目錄進行了掃描,發現了一個webshell指令碼shell.php發現密碼:rebeyond

2、發現有shell.php指令碼,我們進一步去Apache的日誌檔案中去找到是哪一個ip上傳的後門檔案,透過搜尋關鍵字我們找到了192.168.126.1

3、透過對計算機管理介面的查詢,我們找到了隱藏賬戶hack168$ 。除此之外,我們還以透過查詢登錄檔,用net localgroup administrator 命令檢視到隱藏賬戶。

4、登陸到hack168$賬戶,我們在它的桌面上我們看到了名為 Kuang的的挖礦程式,透過觀察圖示,我們知道他是一個python的指令碼檔案用pyinstaller打包成的exe可執行檔案。我們對它進行了反編譯處理,發現程式裡有一個wakuang.zhigongshanfang.top礦池域名。

這裡提交完之後會退出,是因為它的python指令碼沒有加sleep()延時函式,有興趣可以按上邊步驟重新反編譯,加上延時程式。

在打包 pyinstaller 題解.py 在對應的dist資料夾下會有exe的可執行檔案。複製出來覆蓋掉原來的題解.exe在輸入答案就可以了

相關文章