应急响应--web1

应急响应实战--Web1

1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名

也是一样，结合之前的学习和经历，快速找出，，看到这四个要求，先直接秒第三点，隐藏用户

win + r 打开运行窗口，输入lusrmgr.msc ，打开本地用户和组，查看用户

以$结尾命名的是隐藏用户，此处隐藏用户是 hack168

桌面有小皮面板，启动服务查看

ipconfig 产看本机ip，本机ip为192.168.55.153

netstat -ano 查看开放了什么端口

本机开启了80、135、445、3306、3389等一些危险端口

80端口：开用于HTTP服务，常见的安全漏洞包括SQL注入、跨站脚本攻击（XSS）、跨站请求伪造（CSRF）等。

135端口：端口通常与RPC（远程过程调用）服务相关，可能存在的安全漏洞包括RPC服务的缓冲区溢出、未授权访问等。

445端口：是SMB（服务器消息块）协议的默认端口，用于Windows系统的文件和打印共享。该端口经常受到MS08-067漏洞（永恒之蓝）等攻击的影响。

3306端口：是MySQL数据库的默认端口。常见的安全漏洞包括SQL注入、未授权访问、弱密码等。

3389端口：是Windows远程桌面协议（RDP）的默认端口，允许用户远程访问和管理计算机。常见的安全漏洞包括暴力破解密码、中间人攻击等。

访问本机80端口查看开搭建了什么站点，攻击者有可能通过该站点上传shell

导入d盾对www目录扫描发现shell文件

得出shell密码为 rebeyond

现在换剩下两个没找到: 攻击者挖矿程序的矿池域名、攻击者的IP地址

知道是上传webshell，打开apache log日志查看

C:\phpstudy_pro\Extensions\Apache2.4.39\logs

找出攻击者IP 192.168.126.1

最后的矿池域名命令没找到明显的特征，通过查看也没有在飙升的程序

在查看桌面信息的时候，看到隐藏用户hack168下有一个python打包的可疑程序kuang，点击运行了结果直接cpu100%，确定是挖矿程序

要找矿池域名，得反编译一下查看

下载pyinstxtractor.py程序和导入python运行环境

python pyinstxtractor.py Kuang.exe 运行进行反编译

查看该文件名的pyc后缀文件

将Kuang.pyc文件

使用在线pyc解密，得出矿池域名http://wakuang.zhigongshanfang.top

至此得出所有结果

1.攻击者的shell密码：rebeyond
2.攻击者的IP地址:192.168.126.1
3.攻击者的隐藏账户名称：hack168$
4.攻击者挖矿程序的矿池域名:http://wakuang.zhigongshanfang.top

注：本文章内容主要记录分享日常学习，禁止非法他用，与平台和本文作者无关，后果自负；另外文章内容若有不足之处，欢迎各位师傅批评指正！