笔者这里出现了,vmware由于版本不对(不匹配)靶场启动失败的情况,解决方法是将 Windows Server 2022.vmx文件内的版本调至与自己版本一致即可,另外记得将server的防火墙关掉,不然会将shell文件自动删除,导致没办法进一步溯源。 一个前车之鉴,减少大家走弯路的时间。
进入靶场:
这里要攻击者的shell密码 攻击ip 攻击者的隐藏账户 以及挖矿程序的矿池域名。
常规检查(进程 连接情况 dns解析记录):
回头看桌面,有一个phpstudy。查看一下,或许有些收获。
在小皮的网站根目录内查找shell字段,直接找到一个可疑文件:
记事本打开发现这个文件内部写有密码以及默认密码,根据他的密码规则对比发现,就是默认密码rebeyond。这里只是运气好,恰好找到了,一般性的做法是将文件打包,交由在线查杀工具查找。
然后,进一步查看这个shell文件属性。得到这个文件的创建信息,之后可用于与其他日志信息对照。
这里得到文件创建时间2024.2.26 22:53
查看小皮的Apache日志。
可以发现192.168.126.1这个ip 传输的shell.php。母庸置疑,这就是攻击者的ip。
另外可以结合事件查看器和文件创建时间核查一下:
同样可以找到这个入侵的来连接记录。
查找隐藏用户:
对比发现,这个hack168$就是攻击者的隐藏账户。
更一般的方式,是以注册表入手:
计算机\HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProfileList
这个文件夹下放着所用的用户信息。
也可以找到一个隐藏的hack168$账户。
得到攻击者账户之后,很自然的我们需要登录到他的账户查看具体信息:
这里由于我们有管理员权限,可以直接修改hack168$的账户密码。在此,我们也可以查看到隐藏的用户信息。
进入账户:
发现这里有一个Kuang.exe的文件 显然就是用来挖矿的程序。
笔者当时的想法就是,执行这个文件,然后查看后台的解析记录即可得到矿池的域名。但是双击之后,虚拟机直接卡死。另一个思路就是,逆向这个文件,查找文件内的连接地址。
由于笔者逆向能力浅薄,故而这个程序源码只好求助其他人的。
得到矿池域名:http://wakuang.zhigongshanfang.top
扫一扫
1100
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
