赞
踩
(1)攻击者留下的shell
(2)攻击者的IP
(3)攻击者隐藏的账户名称
(4)攻击者挖矿程序的矿池域名
(1)工具查杀——webshell
(2)日志分析——IP,隐藏用户
(3)系统操作排查——挖矿程序
Emlog Pro 任意文件上传漏洞(CVE-2023-44974)-CSDN博客
(修改vmx文件版本值)
(1)将靶机安装包下载解压后,需要修改vmx文件的版本值,否则会不兼容报错
(2)记事本打开vmx文件,将其版本值修改为16
(1)靶机安装查杀工具D盾(或者安装蓝队工具箱,一应俱全)
(工具安装可以通过文件共享到靶机或者靶机访问链接下载)
工具箱链接 夸克网盘分享
靶机背景
(1)进入靶机环境,打开解题EXE
(2)拿到解题背景
(1)打开小皮,进入网站根目录
(2)管理员身份启动D盾(建议做完这步后去把靶机防火墙关掉)
(3)复制网站根目录路径,或者直接将根目录拖到D盾中
(4)D盾扫描,找到后门,但是被靶机的防火墙查杀了
(5)找到windows安全中心中的保护历史记录
(6)还原被查杀的后门
(7)D盾再次扫描
(8)右键查看webshell(拿到shell密码)
(1)找到日志文件
(2)查杀的webshell的名字为shell,所以攻击者对shell文件有进行操作(日志中记录)
(3)找到攻击者的IP地址
控制面板排查隐藏用户
日志分析工具排查隐藏用户
(1)在隐藏用户桌面找到可疑程序
(2)查看下文件属性结合图标,python伪装的exe文件
(3)利用pyinstxtractor,对程序进行反编译,把可疑程序从靶机中放到反编译工具目录下
(此工具需要安装到真实主机中,靶机没有python环境)
GitHub - extremecoders-re/pyinstxtractor: PyInstaller Extractor
(4)工具目录下启动终端,对可疑程序进行反编译
python .\pyinstxtractor.py Kuang.exe
(5)反编译完成,在生成的Kuang.exe_extracted目录下找到.pyc文件
(7)利用下面的在线编译环境,找到矿池域名
关于挖矿那些事,参考文章链接 说说挖矿、矿机和矿池的那些事儿 - 知乎
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。