应急响应靶场 --web1 ---知攻善防实验室_应急响应靶场下载

1.下载此靶场，这份靶场来自知攻善防实验室的web1 靶场 

靶场下载地址： 夸克网盘分享

小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，并找来正在吃苕皮的hxd帮他分析，这是他的服务器系统。

2.胜利条件

小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，并找来正在吃苕皮的hxd帮他分析，这是他的服务器系统通关条件：

1.攻击者的shell密码

2.攻击者的IP地址

3.攻击者的隐藏账户名称

4.攻击者挖矿程序的矿池域名(仅域名)

5.有实力的可以尝试着修复漏洞

3.靶场启动 

直接下载，打开wmware就行 ，如果出现启动错误 请更新至17.5版本呢以上

2.解题步骤

2.1  查看已有的信息

界面图标只有三个，回收站 ，phpstudy及解题.exe 文件

2.2 网站后台是否还有后门

打开小皮，查看网站www文件夹 使用d盾进行搜索

在文件夹中 有个 文件存在后门   打开文件后 看到shell连接密码

2.3网站后台日志

找到了密码后 那我们查看网站的后台日志

发现很多连接的记录， 既然是连接shell了 那我们可以找一下ctrl + f 搜索一下嘛

那就找到ip地址 当然 在现实中 黑客肯定会使用代理 在进行 攻击 不可能只出现一个ip地址

2.4 找到远程登入的用户

拿到了shell 肯定得远程登入嘛 那我们就去事件管理器中找到远程登入情况嘛

查看远程连接情况的过程：  远程登入的事件id为1149

应用程序和服务日志 > Microsoft > Windows > TerminalServices- RemoteConnectionManager，右键单击“Operational”并选择“筛选当前日志”

2.5看看这个用户在电脑中做过什么操作

直接到此电脑中 全盘找这个用户的情况

在桌面中存在一个exe的软件 

！别点！

点完之后电脑巨卡 cpu占用率直接往上飙 估计就是挖矿软件

2.6 分析软件 找到域名

这步我就不会了 大家可以去看一下 公众号 知攻善防实验室 里面的比我完整一点