一、靶机概述

以前打的全是渗透靶机,今天试试应急响应靶机,发现也挺有意思,遂记录下来

靶机链接:https://xj.edisec.net/challenges/61

背景:

小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并请你帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件:

1.攻击者的shell密码

2.攻击者的IP地址

3.攻击者的隐藏账户名称

4.攻击者挖矿程序的矿池域名(仅域名)

二、应急处理

  1. 先找到靶机网站目录

  2. 打开D盾尝试扫描一下是否存在后门shell,发现已知后门

  3. 打开这个shell文件,确认是冰蝎webshell,并发现shell连接密码rebeyond

  4. 打开Apache日志,发现攻击者的ip地址:192.168.126.1

  5. 对当前计算机进行日志分析,发现一个隐藏的用户名:hack168$

  6. 进入hack168$的桌面,发现exe程序,运行后机器cpu占用飙升,基本确认为挖矿木马程序:Kuang.exe

  7. 看到这个图标,猜测是py编写的,利用pyinstxtractor反编译一下看看:https://github.com/extremecoders-re/pyinstxtractor

  8. 得到反编译后的文件夹,再把其中的kuang.pyc反编译成py文件分析一下,在线py反编译网址:https://tool.lu/pyc/

  9. 得到矿池地址:wakuang.zhigongshanfang.top

  10. 整理答案,提交完成靶机!