第四章 windows实战

第四章 windows实战-emlog wp

服务器场景操作系统 Windows
服务器账号密码 administrator xj@123456
题目来源公众号 知攻善防实验室 
https://mp.weixin.qq.com/s/89IS3jPePjBHFKPXnGmKfA
任务环境说明
    注:样本请勿在本地运行!!!样本请勿在本地运行!!!样本请勿在本地运行!!!
    应急响应工程师小王某人收到安全设备告警服务器被植入恶意文件,请上机排查
开放题目
    漏洞修复
参考
https://mp.weixin.qq.com/s/1gebC1OkDgtz4k4YtN10dg

题目

通过本地 PC RDP到服务器并且找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交;
通过本地 PC RDP到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;
通过本地 PC RDP到服务器并且分析黑客的隐藏账户名称,将黑客隐藏账户名称作为 FLAG 提交;
通过本地 PC RDP到服务器并且分析黑客的挖矿程序的矿池域名,将黑客挖矿程序的矿池域名称作为(仅域名)FLAG 提交;

使用远程桌面链接靶机

image-20250725181209828

输入账号密码

image-20250725181234079

第一题

通过本地 PC RDP到服务器并且找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交;

image-20250725181647790

来到桌面发现这里有phpstudy

phpstudy 是一个集成了 Apache/Nginx + PHP + MySQL + phpMyAdmin 等组件的本地 Web 开发环境,是用来在本地电脑上快速搭建 PHP 网站运行环境的工具

我们先从这里入手,题目告诉我们找shell我们就使用D盾去查杀www目录

是你所有网站程序的默认根目录,所有 PHP 项目都要放在这里才能运行

image-20250725181953363

找到shell.php的路径,打开看看文件

image-20250725182236382

根据文件可以看到黑客的密码是rebeyod

flag{rebeyod}

image-20250725182352411

第二题

通过本地 PC RDP到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;

让我们分析IP,一般来说直接看日志即可,日志里面记录了IP地址

找到apache的日志

image-20250725182724878

通过日志分析可以看到192.168.126.1这个IP地址对/content/plugins/tips/shell.php 进行了多次请求可以判定,这个ip为黑客的IP地址作为flag提交

flag{192.168.126.1}

image-20250725182830846

第三题

通过本地 PC RDP到服务器并且分析黑客的隐藏账户名称,将黑客隐藏账户名称作为 FLAG 提交;

这里找黑客的隐藏账户,直接在搜索这里搜索 计算机组管理 然后在用户这里发现黑客的账户名

flag{hacker138}

image-20250725183426222

第四题

通过本地 PC RDP到服务器并且分析黑客的挖矿程序的矿池域名,将黑客挖矿程序的矿池域名称作为(仅域名)FLAG 提交;

让我们找出黑客的挖矿池域名,我们对黑客的账户文件进行检索,最后在桌面下面找到了挖矿程序

我们直接使用脚本工具“pyinstxtractor.py”把kuang.exe转换成pyc文件,接着随便找一个pyc在线反编译即可发现池域名;

image-20250725183743226

将这个挖矿程序导出导自己有pyinstxtractor.py的文件下面然后在这个文件夹打开cmd输入命令

python pyinstxtractor.py kuang.exe

image-20250725183911809

即可在文件家里面生成一个**Kuang.exe_extracted”文件

image-20250725184012192

打开找到这个文件名用notpad打开或者上传的在线网站pyc在线反编译

image-20250725184134932

得到域名:http://wakuang.zhigongshanfang.top

flag{http://wakuang.zhigongshanfang.top}

image-20250725184123018

最后感谢大佬:https://blog.csdn.net/administratorlws/article/details/140125250

posted @ 2025-08-06 10:38  0xMouise  阅读(19)  评论(0)    收藏  举报