应急响应靶机-挖矿事件（知攻善防实验室）

clay小韩

已于 2024-11-19 17:20:25 修改

阅读量2.4k

点赞数 44

CC 4.0 BY-SA版权

分类专栏：应急响应靶机（知攻善防）文章标签：网络安全

于 2024-11-19 17:19:19 首次发布

本文链接：https://blog.youkuaiyun.com/qq_42421872/article/details/143890678

挑战地址

[hvv训练]应急响应靶机训练-挖矿事件

挑战内容

攻击者的IP地址
攻击者开始攻击的时间
攻击者攻击的端口
挖矿程序的md5
后门脚本的md5
矿池地址
钱包地址
攻击者是如何攻击进入的

相关账户密码
Administrator / zgsf@123

前期

首先打开靶场，发现他没有VMware tools，直接装一下，这样方便，就不用在远程连接了

解题

第一题

我们首先打开事件查看器，从里面选择windows日志中的安全

然后我们开始看事件ID为4625的事件（id4625是登录失败的）

我们可以看到他进行了大量的密码爆破

最低0.47元/天解锁文章

200万优质内容无限畅学

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

clay小韩

关注关注

44
点赞
踩
23

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

应急响应靶机-近源渗透OS-1（知攻善防实验室）

qq_42421872的博客

11-18

378

从这个目录发现了C:\PerfLogs\666\666\777\666\666\666\666\666\666\666\666\666\666\666。首先打开靶场，发现他VMware的tools没有装上，想着给他装一下，结果不行，那我们只能使用远程桌面连接来操作了。我们把桌面的文件一个一个的分析结果，把学校放假通知-练习.doc放到我本机桌面上，火绒给我报毒了。通过我们对桌面的phpStudy-修复，打开发现是一个伪装的bat文件。啊这，难不成写错了，最后看了一下题解说让写大写。然后我们去c盘瞅瞅去。

知攻善防Web1应急靶机笔记--详解

LINGX5的博客

08-08

2229

这是一台知攻善防实验室的应急响应靶机，方便大家练习一下应急响应的流程和操作。靶机的前景概述：前景需要：小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，这是他的服务器系统，请你找出以下内容，并作为通关条件：1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名用户：密码靶机地址提取码：1gs21、我们先是用D盾对phpstudy的主目录进行了扫描，发现了一个webshell脚本shell.php。

参与评论您还未登录，请先登录后发表或查看评论

漏洞发现&利用工具

过期的秋刀鱼

01-03

2331

Acunetix一款商业的Web漏洞扫描程序，它可以检查Web应用程序中的漏洞，如SQL注入、跨站脚本攻击、身份验证页上的弱口令长度等。它拥有一个操作方便的图形用户界面，并且能够创建专业级的Web站点安全审核报告。新版本集成了漏洞管理功能来扩展企业全面管理、优先级和控制漏洞威胁的能力。

[网安靶场] 蓝队应急响应靶场 —— 知攻善防实验室 · 靶场笔记合集

Blue17 の小窝

05-22

1113

知攻善防实验室” 的应急响应靶场是以虚拟机镜像形式发布的实战演练环境，用户可以通过从官方网盘中下载后在本地通过 VMware 进行部署运行，模拟真实溯源环境。知攻善防实验室 —— Windows 应急响应靶机 — Web 2 —— 🚩 FTP入侵 + Tencent Files 溯源。知攻善防实验室 —— Windows 应急响应靶机 — Web 1 —— 🚩 pyinstaller 反编译为 py 文件。0x01：知攻善防应急响应靶场 —— 靶场初识。0x01：知攻善防应急响应靶场 —— 靶场初识。

应急响应靶场（近源渗透OS-1、挖矿事件）

weixin_64815500的博客

06-18

2483

知攻善防公众号应急相应靶场练习之近源渗透os-1以及挖矿事件的题解随笔

应急响应靶机训练-挖矿事件

weixin_58609150的博客

11-03

1624

机房运维小陈，下班后发现还有工作没完成，然后上机器越用越卡，请你帮他看看原因。靶机账号密码。

知攻善防实验室 | Windows 应急响应靶机 — Web 1

Blue17 の小窝

05-22

1147

看来上一阶段我们推测失败，攻击者确实是爆破出了后台的一个管理员账户，且该账户拥有弱口令，直接进行的登录，那么我们要想继续溯源，要么去找我们亲爱的运维，要管理员账号密码（可惜我们没有运维），要么自己爆破，复现渗透流程。如上，可以看到，靶机上通过 EMLOG 搭建了一个个人的 Web 站点。攻击者上传了 WebShell 后肯定是要访问的，而这些访问记录就会被记录在 Web 日志中，所以接下来，我们只要去找哪个 IP 访问了 system.php，我们就知道，谁是攻击者了。肯定是先确定一个值呀，比如，用户名。

知攻善防实验室 | Windows 应急响应靶机 — Web 2

最新发布

Blue17 の小窝

05-23

1103

如上，通过 ls 命令，我们发现了靶机的 FTP 服务根路径与其 Web 服务根路径疑似是同样的，而且其 Web 根路径上还是 WordPress 的内容，而 WordPress 又是采用的 PHP 编写的，这证明了啥？如上，谁登录过计算机，一目了然，克隆账号就没这个顾虑，它登录的直接是 Administrator 的桌面，就是如果靶机的 Administrator 也同时进行登录，会出现顶号的情况。如上，轻轻松松就扫描出来，但描述说的是 “隐藏账号”，而不是 “克隆账号”。OK，下面开始应急推理。

蓝队-应急响应01-挖矿事件应急处置

jklove9的博客

02-08

1599

通常情况下会通过未授权访问漏洞，弱口令（口令爆破）等方式，具体是什么方式，还需要看被入侵的服务器具体开放了哪些端口或者服务？挖矿程序主要是利用GPU等资源进行挖矿操作，最直接的现象就是CPU拉满，消耗电力等。下述可以清楚看到，运行挖矿程序之后，查看CPU状态是拉满的，即100%。经过上述分析，基本确认是挖矿，确认挖矿之后，需要进一步探究挖矿程序是如何被上传？挖矿程序通常会有相应的配置文件，如下config.json所示，可以看到钱包地址，挖矿域名等。依据挖矿程序，全盘搜索，发现下述两个路径均存在挖矿程序。

知攻善防应急靶场-Windows（Web1-2-3）

m0_63138919的博客

04-21

1329

感谢知攻善防实验室提供的靶机让我学到了不少关于应急响应的知识

应急响应靶机练习-WindowsServer挖矿

m0_74631795的博客

03-16

1372

如果存在挖矿程序，cpu、gpu、内存啥的使用率会比较高，crtl+shift+esc打开任务管理器查看使用情况，发现存在一个程序占用内存较多（ps:这个的占用情况跟设置的虚拟机配置有关，关注相对占比即可，无需关注绝对占比）吐槽：这个程序如果输入一次错误，直接退出了，又得重新从头输入一遍，还是MD5需要输入大写，也没有明确的提示。没有发现该服务器存在web服务，可能是通过rdp远程登录进来的，需要查看日志确认。（ps：20:17分的记录没看到 ip，应该不是破解的日志，要看25分的记录）

应急响应靶场练习-Web篇（知攻善防实验室）

weixin_64815500的博客

06-03

2445

出现告警，直接工具一键日志分析或者手动日志分析查看一下是否有登录成功的信息。如果有的话记录ip、时间和路径，直接上D盾等webshell扫描工具排查异常账户，控制页面、net user、注册表sam排查影子用户其shell文件或者log查找关键信息如连接密码等常规D盾，中间件日志分析，工具远程登录日志分析等排查查看计划任务taskschd.msc，如果有找到执行的程序/路径去网站网页下面寻找信息。

【Try to Hack】挖矿靶场应急响应

开心星人的博客

08-16

996

进程查杀是一个危险操作，所以可以考虑先暂停进程，看看是否符合预期，再决定是否杀死进程。需要注意的是，即使暂停了进程，该进程的网络连接不见得会断，一般情况下无法发送和接收数据。打开任务管理器，点击详细信息标签。randomx: 包含RandomX算法的配置信息，包括初始化、模式、缓存等。cpu: 包含CPU相关的配置信息，如是否启用CPU挖矿、使用大页、优先级等。http: 包含HTTP服务器的配置信息，包括主机地址、端口号、访问令牌等。pools: 包含矿池的配置信息，包括矿池的URL、用户名、密码等。

Windows挖矿事件应急响应

qq_48904485的博客

07-11

1072

机房运维小陈，下班后发现还有工作没完成，然后上机器越用越卡，请你帮他看看原因。挑战题解：攻击者的IP地址攻击者开始攻击的时间攻击者攻击的端口挖矿程序的md5后门脚本的md5矿池地址钱包地址攻击者是如何攻击进入的。

应急响应靶机——知攻善防实验室

m0_65712192的博客

04-09

775

应急响应靶机WP大全---知攻善防实验室

应急响应主机-linux2-知攻善防实验室

m0_62840741的博客

09-01

1246

看监控的时候发现webshell告警，领导让你上机检查你可以救救安服仔吗！！

Windows应急响应——知攻善防应急靶场

qq_42494313的博客

02-02

879

小李在值守的过程中，发现有占用飙升，出于胆子小，就立刻将服务器关机，这是他的服务器系统，请你找出以下内容，并作为通关条件：攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名用户：密码关于靶机启动解压后直接用Vmware打开即可。

应急响应靶场-Easy溯源（知攻善防实验室）

qq_42421872的博客

11-20

1061

开始我以为攻击者会在那两个网站中内容里面留下自己的邮箱，没想到是通过GitHub溯源邮箱。

知攻善防应急响应练习靶机web3

02-21

对于希望参与知攻善防应急响应练习中的Web3靶机实验的用户来说，获取该靶机的方式通常由官方渠道提供。目前可访问链接为：https://pan.quark.cn/s/4b6dffd0c51a[^1]。请注意，此链接不仅限于特定版本的靶机，因此...