Windows应急响应——web渗透1

此环境来自知攻善防的windows应急响应--web1

题目描述：小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，这是他的服务器系统，请你找出以下内容，并作为通关条件：

1.攻击者的shell密码

2.攻击者的IP地址

3.攻击者的隐藏账户名称

4.攻击者挖矿程序的矿池域名

用户： administrator 密码 Zgsf@admin.com

打开环境

一个phpstudy，另外一个应该是提交flag的地方

既然如此，就先扫描一下phpstudy的目录

成功扫描到了木马

emmm 扫描过后想查看时，Windows安全中心抢先一步把后门杀了，只能去安全中心给后门白名单和恢复了

分析后门

通过分析注释可知这个key是经过MD5加密处理的，这边验证一下，可以发现跟注释的一模一样，所以密文就是这个rebeyond

提交rebeyond

接下来要分析攻击者的IP

既然要IP，那么就会记录在日志中，查找一番后找到了日志

接近15万行的信息，还没划多久，就遇到了恶意IP，这个IP在10分钟内发起了近6000次的POST请求，并且还是302重定向，应该是在尝试暴力破解，再往下划，发现了他上传后门的信息，这么高频率，估计是他构造了自动化脚本辅助上传的，并且还上传成功。根本不用想，这个IP就是攻击者的IP

直接提交

接下来要求输入攻击者创建的隐藏账户

直接在C盘的user文件夹看看有没有。发现了一个可疑用户，复制名称直接提交看看

最后就是要找到挖矿程序和矿池域名

先在任务管理器看看挖矿程序是否在运行

没什么问题

既然它是一个程序，那么文件后缀基本就是exe了，直接在C盘搜索exe关键字

看到一个kuang.exe的程序，双击打开后，虚拟机直接崩了，绝对是挖矿，这个程序是在hack用户文件夹下的，去看看除了它以外还有没有其他的程序

翻了个遍，只有kuang这个程序，没有其他的文档，既然如此，就只能反编译看看里面的字符串也没有信息

先用IDA看看

emmm 字符串这边没有显示什么域名，但是从这个零零散散的py文件头看出，应该是用pyinstaller打包的程序，因为如果是用py2exe的话，会有很多很多py开头的字符串

接下来就需要通过脚本工具提取源码

这里使用的是pyinstxtractor，命令：python3 pyinstxtractor.py Kuang.exe

提取后，会得到一个Kuang.pyc，用winhex打开，旁边的ASCII码就显示了它的域名

提交域名，也是打通关了

还算简单，就是一些比较基本的系统排查和逆向分析

分析过程中若有疏漏，欢迎各位师傅查漏补缺