应急响应练习靶机

一、免责声明

本文仅用于技术讨论与学习，利用此文所提供的信息或工具而造成的任何直接或者间接的后果及损失，均由使用者本人负责，文章作者不为此承担任何责任!

二、前言

前景需要：

小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，这是他的服务器系统，请你找出以下内容，并作为通关条件：

1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名、
用户：administrator 密码：Zgsf@admin.com

解题方法不唯一，仅供参考。

三、解题

开启此虚拟机
链接：https://pan.quark.cn/s/dd7e7751658a

桌面有一个解题系统和phpstudy

打开PHP study，寻找相关web根目录

使用D盾牌进行扫描，也可以使用河马
链接：https://pan.quark.cn/s/bbded249c20d
提取码：5rEv

结果没扫出来

找了一下发现被自带的杀软干了。。。

打开shell文件，发现为冰蝎的

第一题：默认冰蝎密码rebeyond

回到PHP study中，找到Apache的日志文件

发现有大量爆破行为，猜测存在弱口令

直接Ctrl+F搜索shell.php

第二题：找到黑客IP地址192.168.126.1

查看远程桌面登陆成功日志
链接：https://pan.quark.cn/s/d9d7777bfca3
提取码：haPK

第三题：发现未知用户名hack168$

找到该用户文件夹位置，寻找蛛丝马迹

C:Usershack168$

在桌面处找到位置程序，运行后cpu飙升，判别为挖矿程序，进行分析。

分析该文件

该图标为pyinstaller打包，使用pyinstxtractor进行反编译

https://github.com/extremecoders-re/pyinstxtractor 1

得到pyc文件

使用在线pyc反编译工具，得到源码

https://tool.lu/pyc/ https://toolkk.com/tools/pyc-decomplie 12

得到矿池域名wakuang.zhigongshanfang.top

最后，整理答案，提交。

四、拓展

黑客是如何攻击进来的？漏洞修复？

漏洞名称：emlog v2.2.0后台插件上传漏洞，有兴趣的师傅可以把phpstudy跑起来，自己复现一遍。

相关知识

应急响应靶机
[护网训练]应急响应靶机整理
[护网训练]原创应急响应靶机整理集合
前来挑战！应急响应靶机训练
Windows靶机应急响应（一）
【题解】应急响应靶机训练
知攻善防应急响应靶机训练
应急响应靶机训练
Windows应急响应靶机
【护网急训】应急响应靶场集，24年想参加hvv的同学抓紧练习吧。

网址: 应急响应练习靶机 https://www.mcbbbk.com/newsview206356.html