web1

題目來(lái)源：https://mp.weixin.qq.com/s/89IS3jPePjBHFKPXnGmKfA

題目

1.攻擊者的shell密碼2.攻擊者的IP地址3.攻擊者的隱藏賬戶名稱4.攻擊者挖礦程序的礦池域名(僅域名)5.有實(shí)力的可以嘗試著修復(fù)漏洞

靶機(jī)

用戶:administrator密碼:Zgsf@admin.com

題解

1. 攻擊者的shell密碼
   首先查看日志文件，發(fā)現(xiàn)可疑的文件名字，跟蹤過(guò)去查看
   
   也可以借助D盾工具掃面。但是比賽的話一般是不會(huì)提供這種工具的
   

找到shell連接密碼，并進(jìn)行解密，發(fā)現(xiàn)為默認(rèn)冰蝎密碼rebeyond，要記住冰蝎的流量特征。$key="e45e329feb5d925b"; //該密鑰為連接密碼32位md5值的前16位，默認(rèn)連接密碼rebeyond

2. 攻擊者的IP地址
   其實(shí)剛才查看日志文件就已經(jīng)知道ip地址了，正常人誰(shuí)會(huì)去訪問(wèn)shell.php?
   直接Ctrl+F搜索shell.php
   找到黑客IP地址192.168.126.1

3. 攻擊者的隱藏賬戶名稱
   可以使用一個(gè)非常好的小工具查看windows遠(yuǎn)程登錄日志一鍵分析功能
   https://github.com/dogadmin/windodws-logs-analysis
   

找到該用戶文件夾位置，尋找蛛絲馬跡
C:\Users\hack168$

也可以win+R輸入lusrmgr.msc查看本地用戶和組

4. 攻擊者挖礦程序的礦池域名(僅域名)
   在桌面處找到位置程序，運(yùn)行后cpu飆升，判別為挖礦程序，進(jìn)行分析。
   分析該文件
   該圖標(biāo)為pyinstaller打包，使用pyinstxtractor進(jìn)行反編譯
   https://github.com/extremecoders-re/pyinstxtractor
   得到pyc文件
   使用在線pyc反編譯工具，得到源碼
   https://toolkk.com/tools/pyc-decomplie
   也可以使用pycdas.exe
   https://github.com/zrax/pycdc

得到礦池域名wakuang.zhigongshanfang.top

5. 有實(shí)力的可以嘗試著修復(fù)漏洞
   漏洞名稱：emlog v2.2.0后臺(tái)插件上傳漏洞
   Emlog Pro 任意文件上傳漏洞（CVE-2023-44974）