应急响应练习
文章目录
- web1
- web2
web1
题目要求:
前景需要:
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名
用户:
administrator
密码
Zgsf@admin.com
应急响应部分:
第一问用D盾或火绒扫一下会发现shell.php,里面是冰蝎的webshell脚本,默认密码是rebeyond
第二问,到phpstudy的日志里面寻找,搜索shell.php即可找到ip是192.168.126.1
第三问,在计算机管理的本地用户和组中找到hack168$用户
或者到控制面板里面找也可以
也可以注册表中查看
第四问,在hack168$账户的桌面上发现kuang
接下来需要对这个exe文件进行反编译,先用pyinstxtractor-master反编译exe文件,再找到pyc文件反编译成py,查看源码
得到矿池:wakuang.zhigongshanfang.top