赞
踩
仅供参考,作者的随笔记录
开机界面如下,先启动一下Phpstudy
在phpstudy打开根目录,寻找相关web目录
直接上D盾扫描
查看文件,获得第一个提示:$key="e45e329feb5d925b"; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond。rebeyond可以确认为冰蝎后门!!
这里的apache日志里面发现大量的POST请求,ip地址为192.168.126.1,即攻击者ip。
访问一下他爆破的ip地址
是一个登录界面,说明有可能POAT请求暴力破解账号,日志后面状态码200说明很有可能存在弱口令被破解了。
看图很有可能被破解并且传了shell进去,后面是攻击者的连接日志。
注册表sam排查影子用户
这里不知道是不是注册表出问题了,我们直接去控制面板查看用户情况
存在一个hack168$,百分之90是黑客账户
或者利用工具箱查看
也可以确定username
查找这个用户的文件
认准这个图标!!该图标为pyinstaller打包,使用pyinstxtractor进行反编译
工具:GitHub - extremecoders-re/pyinstxtractor: PyInstaller Extractor
把python环境下载好,运行
在解包的Kuang.exe_extracted下找到pyc,用下面的在线反编译进行分析
找到Kuang.exe_extracted下找到pyc,然后就会出现源代码.
我这里网上随便搜的一个python在线反编译工具,解得如下
http://wakuang.zhigongshanfang.top
靶机用户:administrator 密码:Zgsf@qq.com
一键日志分析查看
爆出hack887$(或者注册表sam影子账户排查),ip 192.168.126.129
查看apache下面的log日志文件,发现如下
推测另一个攻击者ip 192.168.126.135
打开system.php
这样攻击者webshell文件名和密码都知道了
$pass='hack6618';
$payloadName='payload';
$key='7813d1590d28a7dd';
这里有个腾讯文件,猜测存在qq账号等信息
qq号:777888999321
其中看到frp(内网穿透工具)
在frpc.ini的配置文件中找到伪IP 256.256.66.88以及伪端口65536
成功攻克靶机!!
2个ip,隐藏用户,3个flag
查看apache日志:
发现192.168.75.129和192.168.75.130对我们有大量的请求访问
上日志文件扫描一下远程登录成功的用户
给出一个hack6618$和溯源的ip192.168.75.130
检查文件其中有两个是一句话木马,直接被查出来
没什么思路,排查一下计划任务:taskschd.msc
发现第一个flag{zgsfsys@sec},而且创建者刚好是我们检查出的异常用户
点进去看他执行了哪个程序
找到并打开,发现第二个flag{888666abc}
第三个没有思路,直接从Web入手:
访问80端口,进去后点后台登陆
Z-blogphp,不知道密码,直接去百度搜索忘记密码怎么操作。提示我们用到以下工具nologin。
下载好并放在网页路径下面,访问
点重置admin的密码,然后登录进去
找到用户管理,点击编辑hack用户
拿下第三个flag{H@Ck@sec}
最后提交答案,上述标蓝色字体即为题解
赞
踩
Copyright © 2003-2013 www.wpsshop.cn 版权所有,并保留所有权利。