Windows应急响应实验1
前置背景小李在值守的过程中发现有CPU占用飙升出于胆子小就立刻将服务器关机这是他的服务器系统请你找出以下内容并作为通关条件1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名打开电脑查看CPU占用率没有占满说明病毒程序没有守护程序查看是否有可疑进程日志分析1使用日志快速分析工具本地无可疑用户发现远程登录账户、ip等信息查看是否有可疑进程的创建账户创建时间确定本机有phpstudy推测攻击者通过网站漏洞进行病毒的植入2手动分析日志首先备份日志选择安全筛选4524,4526的事件号日志找到可疑用户接下来分析网站日志发现2234左右攻击者开始进行暴力破解不到3分钟得到的密码并登录使用D盾扫描网站目录发现shell打开得到shell密码由密码分析攻击者使用冰蝎回到网站日志发现攻击者在22:46上传了该shell去到该账号的桌面发现了挖矿程序在Windows应用程序日志中找到挖矿程序大概被上传的时间点攻击链基本搜集完成此时开始分析攻击者的攻击过程启动网站开始暴力破解使用burp suite得到密码123456搜索漏洞将phpinfo().php捆绑到网络上下载的插件压缩包内安装插件启动插件输入上传的php地址复现成功接下来对挖矿程序进行反编译使用pyinstxtractor.py将exe逆向为pyc文件在tool.lu/pyc/反编译为源代码发现矿池地址攻击流程总结攻击者ip192.168.126.1这是局域网ip明显攻击者控制了该台主机作为跳板矿池地址http://wakuang.zhigongshanfang.top1.22:34左右攻击者开始进行暴力破解2.22:37攻击者成功登录后台3.22:46攻击者上传了shell并通过冰蝎连接4.22:57攻击者创建了hack168$的后门隐藏账号5.23:02攻击者远程登录服务器6.23:15左右攻击者上传了挖矿程序并启动相关资料123云盘