00x01.Windows Server 2022 系统Web-1服务：渗透事件应急响应排查

📄 文档说明

项目	内容
文档编号	55K-RPT-2025-Windows-Web1

👥 信息介绍

• 测试人员：雾里看浮光
• 运营人员：南知意、庭吖
• 公众号：55K-学安全
• 优快云：HackShield_Pro的技术博客
• 博客园：JaseLee的个人博客

⚠️ 免责声明

重要提示
本次文章中所有内容均在本地授权环境中进行。目的仅为安全研究与学习，提升安全防护能力。
请勿将文中所述技术用于任何非法用途，否则后果自负。

---

版权声明：本文由 55K-学安全 团队原创，转载请注明出处。

---

一、问题描述

小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，这是他的服务器系统，请你找出以下内容，并作为通关条件：

1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名(仅域名)
5.有实力的可以尝试着修复漏洞

二、服务环境

测试相关项	具体信息
系统环境	VMware Workstation 17 Pro
系统名称	Windows Server 2022 Web渗透1
网络模式	桥接模式或NAT(VMnet8)
账户密码	用户：administrator 密码：Zgsf@admin.com

三、应急准备

3.1.登录系统

3.1.1.启动虚拟机

打开 VMware Workstation，加载 “Windows Server 2022 Web 渗透 1” 虚拟机，点击 “开启此虚拟机”

3.1.2.账户登录

系统启动后，在登录界面输入：

• 注：我登陆时时无密码进入

- 用户名：administrator
- 密码：Zgsf@admin.com

按回车或点击登录按钮进入系统

3.2.操作指引

3.2.1.运行「解题.exe」获取提示

双击桌面"解题.exe"程序（可能为控制台程序或文本窗口），查看显示的辅助信息

3.2.2.启动「phpstudy_pro」定位网站目录

双击桌面phpstudy_pro程序，等待主界面加载完成后，点击界面左侧导航栏的"网站"选项，点击网站得"管理"功能项进行查看定位

3.2.3 上传「应急响应工具箱」

若服务器上存在"应急响应工具箱"程序，则双击启动；若不存在，可自行上传至服务器中

四、应急操作

4.1.攻击者的shell密码

4.1.1.获取网站根目录地址

通过phpstudy_pro程序，在其站点管理或配置界面中，查询并记录目标网站对应的 Web 根目录完整路径，为后续扫描提供准确地址

4.1.2.启动D盾自定义扫描

打开D盾的查杀模块，进入"自定义扫描"功能模块，将第一步记录的网站根目录地址输入到扫描路径框中，确认参数后启动扫描任务

4.1.3.查看扫描结果并定位风险

扫描任务完成后，在D盾的结果报告中，定位并确认标记"存在shell文件"的风险项，并记录该shell文件的具体路径

• 注意： 若D盾在查杀过程中检测到后门，防火墙将自动清除相关shell文件，此时需通过手动方式进行还原

4.1.4.分析shell文件类型

使用文本编辑软件（如：Notepad++、Sublime Tex等）打开上一步记录的shell文件，通过代码特征确认其为典型的冰蝎木马。

4.1.5.提取木马连接关键信息

在冰蝎木马的代码中，提取出两类核心连接信息：

- 连接密钥："e45e329feb5d925b"32位MD5值的前 16 位字符
- 默认连接密码："rebeyond"
- 通过使用MD5网站解密32位MD5值的前16位字符，解密得到的结果是：rebeyond

# 推荐几个MD5解析网站：
https://cmd5.com/
http://md5.cn/
http://www.ttmd5.com/
https://md5.so/
https://www.t007.cn/
https://www.somd5.com/
https://www.md5online.org/
https://hashes.com/en/decrypt/hash

4.2.攻击者的IP地址

攻击者通过 WebShell 上传文件或远程连主机时，会在 Apache、Nginx 等 Web 服务器日志中留痕。分步骤分析这类日志，可精准提取攻击者 IP、操作时间及行为，为溯源提供关键依据

4.2.1.Web服务器日志分析

定位Apache/Nginx日志文件路径：

• 首先应确认日志存储位置，确保获取完整的访问与错误记录

- Apache日志路径：
  C:\phpstudy_pro\Extensions\Apache2.4.39\logs

- Nginx日志路径：
  C:\phpstudy_pro\Extensions\Nginx1.15.11\logs

- 核心文件包括：
	access.log：记录所有HTTP访问请求，包含IP、时间、请求路径等信息
	error.log：记录服务器错误信息，如WebShell执行异常等

4.2.2.筛选Shell相关日志

从大量日志中筛选出与WebShell上传或远程命令执行相关的记录，重点关注以下特征：

• WebShell文件特征筛选

- 脚本后缀：如.php、.jsp、.asp、.aspx等常见WebShell格式

- 自定义文件名：例如shell.php、backdoor.jsp、upload.jsp等攻击者常用命名

4.2.3.提取攻击者核心信息

从筛选出的日志中提取三类关键溯源信息：

- 攻击者IP：
	 192.168.126.1
- 操作时间：
 	 [26/Feb/2024:22:55:17 +0800]
- 操作行为：
	 POST /content/plugins/tips/shell.php

4.3.攻击者的隐藏账户名称

4.3.1.利用D盾工具检测隐藏账户

1.启动工具模块

• 运行D盾安全防护工具，进入主界面后选择"工具"模块

2.执行账户扫描

• 在工具模块中选择"克隆账号检测"功能，D盾将自动扫描并分析系统中所有账户信息

3.核查分析结果

• 扫描完成后，仔细查看检测结果列表。如发现异常账户（通常账户名称未尾带"$"符号），系统将发出告警

4.3.2.使用Windows日志分析工具

1.启动Windows-Logs工具

 - Windowslog（普通版）：直接分析受害主机日志
 - Windowslog-local（本地版）：分析固定路径的日志，路径为C:\log

2.查看远程桌面登录成功日志

 - 运行工具中"查看远程桌面登录成功日志"模块，获取相关登录记录

3.分析远程登录成功记录

 - 查看所有远程登录成功的日志条目，识别异常登录行为

4.3.3.查看RDP服务运行日志

1.打开事件查看器

 - 按下 Windows+R 快捷键调出运行窗口，输入指令 eventvwr.msc 并回车确认，即可打开系统的事件查看器

2.定位日志路径

 - 依次至：应用程序和服务日志 → Microsoft → Windows → TerminalServices-RemoteConnectionManager → Operational

3.筛选关键事件

 - 在日志中筛选事件ID为"1149"的记录

4.获取登录信息

 - 如找到对应事件记录，可直接从中读取来源IP地址及登录时间等关键信息

4.3.4.注册表影子账户核查与控制面板账户验证

1.注册表影子账户核查：

- 注册表启动：
	点击桌面左下角"开始"菜单→选择"运行"，输入"regedit.exe"
- 路径定位：
	依次展开路径：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
- 核查结果：
	在上述路径下逐一查看账户列表，未发现与"hack168$"相关的影子账户记录
	注：影子账户通常会隐藏在注册表深层节点，此核查结果排除该账户为注册表级隐藏影子账户的可能

2.控制面板账户查看与判定：

- 控制面板打开：
	通过桌面"此电脑"右键→"属性"→"控制面板主页"
- 账户定位：
	在控制面板中找到并点击"用户账户"模块，进入"管理账户"页面
- 账户确认与判定：
	在账户列表中明确查看到"hack168$"账户，结合此前D盾监测到的隐藏标识，判定为恶意账户

4.4.攻击者挖矿程序的矿池域名(仅域名)

4.4.1.初步识别与行为观察

1.文件定位

 - 在隐藏账户hack168$的桌面目录下发现Kuang.exe

2.行为分析

 - 程序行为分析：尝试运行该程序后，系统立即出现严重卡顿，据此初步判定其为恶意程序（例如挖矿病毒）
 - 环境准备提醒：虚拟机中未预装Python环境，需要自行下载并配置
 - 【重要警告】：严禁执行kuang.exe文件，以避免触发恶意行为 

3.打包器识别

 - 通过其文件图标，初步判断该程序由PyInstaller打包而成，可使用查壳工具DIE进一步确认判断

4.4.2.准备反编译环境

1.获取解包工具

• 从GitHub下载PyInstaller解包工具pyinstxtractor

2.项目地址

• https://github.com/extremecoders-re/pyinstxtractor

3.准备环境

• 确保分析的主机上已安装Python 3环境

4.文件整理

• 将待分析的Kuang.exe与pyinstxtractor.py脚本置于同一文件夹内

4.4.3.解包EXE文件

1.打开命令符

 - 在工具目录下打开命令行

2.执行命令

 - python .\pyinstxtractor.py .\Kuang.exe

3.执行结果

 - 命令执行成功后，将生成一个名为Kuang.exe_extracted的新文件夹

4.4.4.反编译获取源代码

1.定位Pyc文件

 - 在生成的Kuang.exe_extracted文件夹中，找到关键的.pyc文件

2.安装反编译工具

 - pip install uncompyle6

3.执行反编译

 - uncompyle6 .\kuang.pyc > kuang.py

4.替代方案

• 也可将.pyc文件上传至在线反编译网站进行分析：

 - https://rivers.chaitin.cn/tools/pyc2py
 - https://www.lddgo.net/string/pyc-compile-decompile
 - https://tool.lu/pyc/

4.4.5.结果与分析

成功反编译后，即可在kuang_decompiled.py文件中查看和分析程序的原始Python源代码，从而确定其恶意行为

4.5 有实力的可以尝试着修复漏洞

4.5.1.漏洞修复流程

按照“识别网站→定位漏洞→复现修复”的逻辑顺序，调整为以“信息收集”为先导,遵循“未知网站先确认信息”的实际操作场景

4.5.2.网站服务启动

1.启动服务

 - 优先启动小皮（PhpStudy）服务，确保网站可正常访问

2.访问网站信息

 - 访问网站可通过登录页标识、后台程序名称及版本号，明确当前网站使用的程序及版本

4.5.3.漏洞定位与攻击溯源

1.关联漏洞信息

 - 基于确认"Emlog"系统进行搜索"Emlog"漏洞，定位到该版本存在任意文件上传漏洞（CVE-2023-44974），攻击者可上传构造的PHP文件执行任意代码

2.追溯攻击行为

 - 结合Apache日志进一步验证，确认攻击者路径为：通过POST /admin/account.php 暴力破解→登录后访问/admin/plugin.php→最终通过shell.php执行恶意操作，与漏洞利用逻辑一致

4.5.4.漏洞复现验证

1.尝试登录

使用Emlog常见默认账号密码(账号：admin，密码：123456)，测试能否成功登录网站后台，测试验证为弱口令风险

2.触发漏洞测试

 - 登录系统后，依次点击 “扩展→插件→安装插件” 模块，上传预先构造的 PHP 一句话木马文件

3. 上传测试验证

 - 查看服务起IP地址，待文件上传成功后，使用蚁剑工具连接该木马，确认漏洞可被利用（即文件成功上传且能执行命令），完成风险验证流程

4.5.5.针对性漏洞修复方案

基于识别、定位与复现结果，执行3项核心修复措施：

1.重置强口令

• 立即修改admin账号密码，要求长度≥12位，包含大小写字母、数字及特殊符号，符号(如Emlog#Pro2025!)，杜绝弱口令或默认密码

2.加固文件上传校验

• 针对/admin/plugin.php的上传功能，新增3点以下限制：
  • 仅允许插件安装所需的合法后缀(如.zip)，禁止直接上传.php文件
  • 校验文件 MIME 类型，拒绝非预期格式(如伪装成zip的PHP文件)
  • 增加文件内容扫描，拦截含恶意代码的文件

3.升级安全版本

• 将Emlog Pro从2.2.0版本更新至官方最新安全版本，直接修复CVE-2023-44974漏洞及其他潜在隐患

五、排查总结

5.1.问题定位总结

问题项	答案	定位依据
攻击者的shell密码	rebeyond	冰蝎木马代码分析，MD5解密确认
攻击者的IP地址	192.168.126.1	Web服务器访问日志分析
攻击者的隐藏账户名称	hack168$	D盾检测+登录日志+控制面板验证
攻击者挖矿程序的矿池域名	wakuang.zhigongshanfang.top	反编译挖矿程序源代码
修复漏洞关键措施	清除恶意文件-账户安全加固-系统安全加固-应用安全修复	系统性安全加固方案

5.2.应急响应总结

5.2.1.核心排查流程

现象确认：CPU异常占用 → 立即断网/关机
痕迹分析：日志分析 → 文件溯源 → 系统排查
威胁定位：WebShell → 隐藏账户 → 挖矿程序
影响评估：系统完整性 → 业务影响 → 数据安全
修复加固：清除威胁 → 修复漏洞 → 安全加固

5.2.2.关键技术要点

日志分析能力：熟练分析Web服务器日志和Windows系统日志
恶意代码分析：掌握WebShell识别和恶意程序逆向分析
系统安全知识：了解Windows隐藏账户机制和权限管理
工具使用技能：熟练使用D盾、日志分析工具、反编译工具等

5.2.3.应急响应建议

预防为主：建立常态化安全监测机制
快速响应：制定详细的应急响应流程
溯源彻底：不满足于表面清理，要深挖攻击链
加固全面：从系统、应用、网络多层面进行安全加固
持续监控：修复后建立长期监控，防止再次入侵

5.3.整体总结

本次应急响应通过"日志分析 - 文件溯源 - 系统排查 - 漏洞修复"的闭环流程，成功定位攻击者痕迹并完成系统加固。核心在于掌握Windows系统隐藏账户机制、Web日志分析方法及挖矿程序配置特征，同时需形成"检测 - 响应 - 防护"的安全闭环思维，提升服务器抗攻击能力。