知攻善防Web1应急靶机笔记--详解

知攻善防Web1应急靶机笔记

概述

这是一台知攻善防实验室的应急响应靶机，方便大家练习一下应急响应的流程和操作。

靶机的前景概述：

前景需要：

小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，这是他的服务器系统，请你找出以下内容，并作为通关条件：

1.攻击者的shell密码

2.攻击者的IP地址

3.攻击者的隐藏账户名称

4.攻击者挖矿程序的矿池域名

用户：

administrator

密码

Zgsf@admin.com

靶机地址

提取码：1gs2

0、前期配置

1）VM版本问题

拿到靶机我们会找到目录的下的Window Server 2022.vmx文件打开会报一个错

我们需要去Window Server 2022.vmx右键，记事本打开

我们打开虚拟机

2）防火墙问题

不关闭防火墙的话，看到web网站的后门脚本会自动被windos的防火墙删除掉

我们关闭掉病毒和威胁防护

1、第一题题解

1.攻击者的shell密码

我们在桌面上看到phpstudy，shell密码应该是webshell的连接密码，我们用D盾对phpstudy的目录进行扫描，看看有没有什么明显的后门文件。

看到有一个shell.php,右键打开看看。

这是一个冰蝎的webshell脚本，默认密码是rebeyond

2、第二题题解

2.攻击者的IP地址

攻击者的IP地址，攻击者既然上传了webshell文件，那在我们的web日志里应该有相应的操作日志。我们打开日志

看日志文件大小，应该就是他了，我们打开ctrl+f搜索关键字shell.php

他既然上传了这个webshell脚本肯定会有相关的上传和访问的日志产生

这个访问shell.php的流量大概率就是攻击者做的，所以第二题 192.168.126.1

3、第三题题解

3.攻击者的隐藏账户名称

攻击者的隐藏账户，我们可以去计算机管理的账户去查看，我们搜索 计算机管理

打开找到本地用户和组

发现有hack168$用户，这就是隐藏账户。

4、第四题题解

4.攻击者挖矿程序的矿池域名

1）找到挖矿程序

找到挖矿程序和矿池的域名，这里我们要去hack168$账户去查看黑客在他创建的账户里进行了什么操作。

我们是在管理员组的，所以我们有权限去更改hack168$账户的密码

C:\Users\Administrator>net user hack168$ 123456aa@
命令成功完成。

因为有密码复杂度要求，我们把密码改为了 123456aa@

我们按1win+l在虚拟机的选项卡里发送请求ctrl+alt+delete请求，切换到hack168$

登陆进来，我们就看到了一个叫kuang的可执行文件，是用python的pyinstaller打包成的exe文件。

我们要找到矿池的域名，需要对这个python的打包出来的exe文件进行反编译，去看他里面的源码

2）反编译python程序

python的exe文件反编译要用到pyinstxtractor.py文件和pycdc.exe文件

我这里也准备了对应的文件 python反编译

提取码：nfw3

我们把 挖矿程序Kuang放到pyinstxtractor.py同一目录下运行：

 python .\pyinstxtractor.py .\Kuang.exe

会生成Kuang.exe_extracted文件夹

点进去，找到与我们反编译文件同名的文件

重命名为Kuang.pyc

为notepad++安装HexEdit插件：https://www.cnblogs.com/LING5/p/18349724

给pyc文件添加magic头：https://www.cnblogs.com/LING5/p/18349733

我们把添加好头部的Kuang.pyc文件复制到与pycdc.exe程序同目录下执行：

.\pycdc.exe .\Kuang.pyc > Kuang.py

在同目录下会有Kuang.py生成，这就是我们反编译的文件

结果：

# Source Generated with Decompyle++
# File: Kuang.pyc (Python 3.8)

import multiprocessing
import requests

def cpu_intensive_task():

    try:
        requests.get('http://wakuang.zhigongshanfang.top', 10, **('timeout',))
    finally:
        continue
        continue

    continue

# WARNING: Decompyle incomplete

看到这个程序向域名wakuang.zhigongshanfang.top发送GET请求

毫无疑问这个域名就是矿池

答案：wakuang.zhigongshanfang.top

5、提交

总结

1、我们先是用D盾对phpstudy的主目录进行了扫描，发现了一个webshell脚本shell.php发现密码:rebeyond

2、发现有shell.php脚本，我们进一步去Apache的日志文件中去找到是哪一个ip上传的后门文件，通过搜索关键字我们找到了192.168.126.1

3、通过对计算机管理界面的查询，我们找到了隐藏账户hack168$ 。除此之外，我们还以通过查询注册表，用net localgroup administrators 命令查看到隐藏账户。

4、登陆到hack168$账户，我们在它的桌面上我们看到了名为 Kuang的的挖矿程序，通过观察图标，我们知道他是一个python的脚本文件用pyinstaller打包成的exe可执行文件。我们对它进行了反编译处理，发现程序里有一个wakuang.zhigongshanfang.top矿池域名。

这里提交完之后会退出，是因为它的python脚本没有加sleep()延时函数，有兴趣可以按上边步骤重新反编译，加上延时程序。

在打包 pyinstaller 题解.py 在对应的dist文件夹下会有exe的可执行文件。复制出来覆盖掉原来的题解.exe在输入答案就可以了