历史记录

    清空历史记录
    • 相关的动态
    • 相关的文章
    • 相关的用户
    • 相关的圈子
    • 相关的话题
    注册 登录
    应急响应系列靶场解析

    应急响应-web1

    前景需要:
    小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:

    1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名
    用户:
administrator
密码
Zgsf@admin.com

    1.攻击者的shell密码


    这里给的是一个用phpstudy 搭建的网站,我们想要知道webshell的密码,要么就是去找到webshell文件在那里,这里可以直接用D盾河马那行工具去扫,但是题目没给,想着手工试试,这里没有给出攻击流量,那么就可以去看一下apache的日志

    这里找到 apache 的日志文件,来分析一下,其实这里用工具的话肯定也是更方便的,但是题目没给,这里手动尝试一下

    这里其实很明显,只要往下面翻一下就可以找到很多关于shell.php的文件,那么这里就可以安装这个路径去找这个webshell


    然后打开看一下

    这里要将防火墙关上,要不然会被直接杀掉

    这里就可以看到密码了

    rebeyond

    2.攻击者的IP地址

    这里也从日志分析

    然后就可以看到shel.php 的攻击ip都是192.168.126.1

    3.攻击者的隐藏账户名称

    这里查看攻击者的隐藏账户名称
    打开 cmd 窗口,输入lusrmgr.msc命令,查看是否有新增/可疑的账号,如有管理员群组的(Administrators)里的新增账户,如有,请立即禁用或删除掉。

    lusrmgr.msc


    这个时候就发现了一个不该出现的用户了.
    还有一种检查方法就是在控制面板看了


    看到除了原本的 Administrator 就很明显多出来一个 hack168$

    4.攻击者挖矿程序的矿池域名

    既然发现了攻击者的隐藏账户,那么就可以去看看攻击者在账户里面做了一些什么操作,因为在上面可以看到,这个账户是要密码的,但是我们在管理员用户,所以是可以直接修改这个账户的密码的

    登录以后就发现桌面是有个 Kuang 的文件的

    那么很明显这里就是挖矿的程序,那么想要通过这个东西去获得矿池域名,就要去反编译一下了,这里题目没提供,用自己的

    可以发现打包工具用的是 Pylnstaller 就可以知道是用 python 写的了,那么就可以去反编译看一下了

    这里利用 pyc 反编译得到源码,在里面找到同名的 pyc 文件

    然后再拿到和工具的同一目录下

    pycdc.exe Kuang.pyc > Kuang.py


    打开反编译的python文件

    就可以看到,这个代码就是通过 get 方式来请求矿池的域名的
    这里也就成功的得到了挖矿程序的域名了

    wakuang.zhigongshanfang.top

    应急响应-web2

    1、攻击者的IP地址(两个)

    首先要看开启了什么服务,这里因为是用的是 phpstudy 可以直接去看,要根据情况来找日志文件,利用工具更加方便


    这里就可以看到日志信息了,然后分析一下攻击ip,这里在下面是可以看到攻击者的ip的


    这里就可以发现是一个扫描的攻击流量,攻击ip是 192.168.126.135 ,这里发现有一个 ftp 的服务开启着,也可以去看一下ftp的日志

    在ftp的日志中,226 是登录成功的,
331 代表服务器已经收到了用户名,并且用户名是有效的,需要密码来验证
421代表ftp服务当前不可用,可能是因为服务器的服务问题
530 代表用户没有登录,要提供账户密码

    这里找到了一个226的记录,也就是ftp服务器登录成功的记录,也还是

    192.168.126.135

    题目说有两个攻击ip ,那么就需要找一下另外一个,在寻找的过程中找到了攻击者的webshell的名称
    从日志中已经找不到什么内容了,于是想到去看看远程登录有没有被动过,在这个过程中找到了攻击者登录的账户hack887$,这个时候就可以登录这个账户的时候的ip

    在时间查看器中成功的找到了远程登录的攻击者账户,发现ip 192.168.126.129

    2、攻击者的 webshell 文件名


    这里查看日志文件发现,并没有进行任何上传操作,也没有什么前置的信息就直接来到了 system.php 这个文件这里,响应码是200,而且每次的内容还不一样,所以怀疑这个就是 webshell 的文件,这里想到了上面的 ftp 服务器被攻击者连接了,通过分析发现,攻击者是通过ftp服务器上传的shell,也就是 system.php

    3、攻击者的 webshell 密码


    因为已经知道了是system.php 的文件是webshell ,所以也就能够找到哦这个文件了,在文件中也找到了密码

    4、攻击者的 QQ 号

    在翻文件的过程中,找到了一个腾讯文件的文件夹,结果发现有一个文件,确实是疑似QQ号

    5、攻击者的服务器伪 IP 地址

    查找攻击者的服务器伪ip的地址,是使用 %userprofile%/Recent 查看最近操作的目录

    发现文件是在这个文件下面的

    反向代理的,就可以看到配置文件中的伪ip

    6、攻击者的服务器端口

    在其中也看到了伪端口

    7、攻击者是如何入侵的

    在上面发现是通过ftp服务器进行上传webshell入侵的

    8、攻击者的隐藏用户名


    在这里发现创建了隐藏的登录名
    hack887$

    应急响应-web3

    1、攻击者的两个IP地址

    找ip,依旧是先分析日志,这里看到还是使用phpstudy 那么直接去看日志

    那么紧接着就是去分析日志,找攻击者的ip

    往下面找就找到了两个攻击的ip

    192.168.75.130
193.168.75.129

    2、攻击者隐藏用户的名称

    这里再找攻击者隐藏用户的名称

    这里依旧可以在Windows的事件查看器中去找 4720 事件id,找到攻击者创建的用户,也可以去注册表中查看,不过本题在注册表中并没有发现,在计算机管理的本地用户和组却发现了

    3、攻击者留下的三个flag

    这里是说攻击者留下的flag,那么就可以去登录攻击者留下的账户上面去看看攻击者做了什么操作,因为我们是管理员用户,所以可以直接去修改攻击者留下账户的密码的


    这里三个flag的其实没有任何提示的话是不太好找的,只能把能想到的地方排查一遍,但是比较慢,所以如果使用工具的话会快很多,但是这里采用手工的方法可以更加熟悉流程在,然后在计划任务中找到了

    然后在操作中可以看到,是通过一个system.bat 文件进行操作的

    然后在文件中也是发现了第二个flag

    这里是执行了一个一句话木马。最后一个flag是在网站后台,也应该想到,攻击者是否在网站后台做了操作,这里是使用 phpstudy 所以要先开启服务,然后再去登录页面

    这里发现并没有给我们账户和密码,但是发现这个是 Z-BlogPHP ,这个是有一个重置密码的工具的,所以可以直接去下下载

    放到目录以后就可以发现有两个用户,并且重置密码

    然后就可以看到有个hacker的账户,这里打开查看

    就看到了第三个flag

    应急响应-近源渗透

    前景需要:小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。

    Administrator
zgsf@2024

    1.攻击者的外网IP地址


    排查外网地址有好几种方式,比如使用命令netstat -nao 去查看外联ip,去事件查看器中等等,经过排查以后发现并没有什么关于外联ip的内容,最后只能去排查文件,或许桌面的文件确实有点奇怪,这里排查文件确实排查到了

    这里宏是有问题的,这里可以直接把文件拿到沙箱分析一下


    这里也就可以看到攻击者外网的IP了

    2.攻击者的内网跳板IP地址

    这里看出攻击者的手法,所以很有可能还有别的文件是攻击者传的,然后接着排查桌面文件了,就发现这个phpstudy很可疑,用编辑器打开发现确实

    很明显就是有问题的,并且在运行过这个bat文件之后再次使用 netstat -ano 就会发现有一个连接的ip

    3.攻击者使用的限速软件的md5大写

    这里一开始确实没有想到,但是学了以后在真实环境中,一个普通用户想要劫持整个局域网的网速的话是要用到 ARP 劫持的,于是在c盘中就发现了

    一看这个路径也就说明了确实是有些问题的,谁会这么放内容呢,在网上查了一下这个软件

    4.攻击者的后门md5大写

    这里排查后门的时候查了很多,确实是没有想到最后的答案是粘滞键后门

    连续按5次次shift键就能够触发,然后发现flag,而后门的md5大写直接写就可以了

    5.攻击者留下的flag

    这里在上面发现了flag

    应急响应-挖矿案例

    administrator/zgsf@123

    1.攻击者开始攻击的时间


    这里在时间查看器的Windows日志中发现了对主机进行密码爆破的操作,发现这个是最早的攻击时间

    2024/5/21 20:25:22

    2.攻击者的ip地址


    攻击者的ip在这里也是可以看到的

    192.168.115.131

    3.攻击者攻击的端口

    攻击者攻击的端口这里很明显是对我们远程连接进行攻击的 ,也就是3389

    4.挖矿程序的md5

    这里找挖矿的程序可以先看一下任务管理器,看看有没有什么可疑的进程

    然后就发现了这个程序,是一个挖矿病毒

    5.后门脚本的md5

    这里再去找后门脚本,这里使用工具的话会很方便,比如Autoruns,火绒剑之类的,不过这里手动找一下没找到。我们尝试关闭这个挖矿的脚本,发现关闭之后又会重新启动,那么说明肯定有一个脚本文件在跟着他启动

    这里用的火绒剑,很明显的就出来了

    6.矿池地址(仅域名)

    这里就直接回去看挖矿程序的config文件

    就可疑看到挖矿的域名url

    auto.c3pool.org

    7.攻击者的钱包地址

    攻击者钱包的地址也就是user的一段了

    4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

    8.攻击者是如何攻击进入的

    这里很明显就是通过爆破3389端口进行登录的

    0 人收藏 0 人喜欢 转载 分享
    0 条评论
    某人
    表情
    可输入 255
      发布投稿
    热门文章
    优秀作者
    目录
    先知社区
    本站/app由 Djingoii 提供技术和产品支持