当前位置:   article > 正文

应急响应靶场练习-Web篇(知攻善防实验室)_应急响应靶场 --web2---知攻善防实验室

应急响应靶场 --web2---知攻善防实验室

仅供参考,作者的随笔记录

一、Web 1

1.要求

2.网站扫描

开机界面如下,先启动一下Phpstudy

在phpstudy打开根目录,寻找相关web目录

直接上D盾扫描

查看文件,获得第一个提示:$key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond。rebeyond可以确认为冰蝎后门!!

3.网站日志文件排查

这里的apache日志里面发现大量的POST请求,ip地址为192.168.126.1,即攻击者ip。

访问一下他爆破的ip地址

是一个登录界面,说明有可能POAT请求暴力破解账号,日志后面状态码200说明很有可能存在弱口令被破解了。

看图很有可能被破解并且传了shell进去,后面是攻击者的连接日志。

4.查找攻击者的隐藏账户

  注册表sam排查影子用户

这里不知道是不是注册表出问题了,我们直接去控制面板查看用户情况

存在一个hack168$,百分之90是黑客账户

或者利用工具箱查看

也可以确定username

5.寻找挖矿矿池

查找这个用户的文件

认准这个图标!!该图标为pyinstaller打包,使用pyinstxtractor进行反编译

工具:GitHub - extremecoders-re/pyinstxtractor: PyInstaller Extractor

把python环境下载好,运行

在解包的Kuang.exe_extracted下找到pyc,用下面的在线反编译进行分析

找到Kuang.exe_extracted下找到pyc,然后就会出现源代码.

我这里网上随便搜的一个python在线反编译工具,解得如下

http://wakuang.zhigongshanfang.top

6.遇到的问题:

  1. D盾查杀检测到防火墙自动给我把shell清除了,需要手动还原
  2. 打开虚拟机前修改vmx配置文件与虚拟机版本相对应
  3. 给的虚拟机没有python环境需要自己下载配置,不要点开kuang.exe!!
  4. 上面的D盾和日志扫描都是从虚拟机上下载知攻善防实验室配套蓝队工具箱(有点麻烦)
  5. 以上标蓝色的即为本题解

二、Web 2

1.题目要求

靶机用户:administrator 密码:Zgsf@qq.com

2.跑应急工具箱

一键日志分析查看

爆出hack887$(或者注册表sam影子账户排查,ip 192.168.126.129

查看apache下面的log日志文件,发现如下

推测另一个攻击者ip 192.168.126.135

3.D盾扫描路径

打开system.php

这样攻击者webshell文件名和密码都知道了

$pass='hack6618';

$payloadName='payload';

$key='7813d1590d28a7dd';

4.QQ号查看分析

这里有个腾讯文件,猜测存在qq账号等信息

qq号:777888999321  

其中看到frp(内网穿透工具)

在frpc.ini的配置文件中找到伪IP 256.256.66.88以及伪端口65536

5.提交题解

成功攻克靶机!!

6.总结web1\2做题思路:

  1. 出现告警,直接工具一键日志分析或者手动日志分析查看一下是否有登录成功的信息。
  2. 如果有的话记录ip、时间和路径,直接上D盾等webshell扫描工具
  3. 排查异常账户,控制页面、net user、注册表sam排查影子用户
  4. 其shell文件或者log查找关键信息如连接密码等

三、Web 3

1.要求

2个ip,隐藏用户,3个flag

2.日志分析

查看apache日志:

发现192.168.75.129192.168.75.130对我们有大量的请求访问

上日志文件扫描一下远程登录成功的用户

给出一个hack6618$和溯源的ip192.168.75.130

3.上D盾对目标路径进行扫描

检查文件其中有两个是一句话木马,直接被查出来

4.flag1 & flag2

没什么思路,排查一下计划任务:taskschd.msc

发现第一个flag{zgsfsys@sec},而且创建者刚好是我们检查出的异常用户

点进去看他执行了哪个程序

找到并打开,发现第二个flag{888666abc}

5.flag3

第三个没有思路,直接从Web入手:

访问80端口,进去后点后台登陆

Z-blogphp,不知道密码,直接去百度搜索忘记密码怎么操作。提示我们用到以下工具nologin

下载好并放在网页路径下面,访问

点重置admin的密码,然后登录进去

找到用户管理,点击编辑hack用户

拿下第三个flag{H@Ck@sec}

最后提交答案,上述标蓝色字体即为题解

6.总结:

  1. 常规D盾,中间件日志分析,工具远程登录日志分析等排查
  2. 查看计划任务taskschd.msc,如果有找到执行的程序/路径
  3. 去网站网页下面寻找信息
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/菜鸟追梦旅行/article/detail/723627
推荐阅读
相关标签
  

闽ICP备14008679号