最近在学与应急响应相关的知识,然后也是做了这个比较简单的靶场吧,也是记录一下做的过程。
靶机描述:
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名
首先要理清楚思路,才好下手,思路是非常的关键,外面看这个提示,shell也就是攻击者传入的后门文件,然后ip地址也就是攻击者的IP,因为有攻击者是通过web进来的,所以我们的日志会记录的,我们找到是谁第一次访问这个文件也就是说他多半就是攻击者,隐藏用户的话也是攻击者留下来的后门,我们在cmd命令行中是看不见的net user,我们可以在控制面板的用户那去查看,也可以去注册表中去查看有没有影子用户等,然后矿池这个我们看cpu和gpu的比例,来确定哪个是挖矿的程序,我们在查看的时候就是没有看见程序运行,但是攻击者在创建了这个用户过后,在该用户的桌面有挖矿的程序,我们找到过后,发现是exe程序但是没有他的配置文件,因为挖矿程序会有一个配置文件,里面会记录矿池地址和钱包地址等信息,然后我们观察他是py的图标,我们使用工具来进行反编译变成pyc,然后进行在线的pyc反编译得到里面的源码。下面我们来看看实践
首先打开靶场,我们可以看网站的根目录下的文件有没有什么明显的文件,如果文件很多,我们直接使用工具(我使用的d盾来进行扫描),然后发现后门的文件
最低0.47元/天 解锁文章
扫一扫
1088
到【灌水乐园】发言
