Windows应急响应实验1
前置背景:
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名
打开电脑查看CPU,占用率没有占满说明病毒程序没有守护程序
查看是否有可疑进程
日志分析
(1)使用日志快速分析工具
本地无可疑用户
发现远程登录账户、ip等信息
查看是否有可疑进程的创建
账户创建时间确定
本机有phpstudy,推测攻击者通过网站漏洞进行病毒的植入
(2)手动分析日志
首先备份日志
选择安全,筛选4524,4526的事件号日志
找到可疑用户
接下来分析网站日志
发现22:34左右攻击者开始进行暴力破解
不到3分钟得到的密码并登录
使用D盾扫描网站目录
发现shell
打开得到shell密码,由密码分析攻击者使用冰蝎
回到网站日志发现攻击者在22:46上传了该shell
去到该账号的桌面,发现了挖矿程序
在Windows应用程序日志中找到挖矿程序大概被上传的时间点
攻击链基本搜集完成,此时开始分析攻击者的攻击过程
启动网站
开始暴力破解(使用burp suite)得到密码123456
搜索漏洞
将phpinfo().php捆绑到网络上下载的插件压缩包内,安装插件
启动插件
输入上传的php地址,复现成功
接下来对挖矿程序进行反编译
使用pyinstxtractor.py将exe逆向为pyc文件
在tool.lu/pyc/反编译为源代码,发现矿池地址
攻击流程,总结:
攻击者ip:192.168.126.1(这是局域网ip,明显攻击者控制了该台主机作为跳板)
矿池地址:http://wakuang.zhigongshanfang.top
1.22:34左右攻击者开始进行暴力破解
2.22:37攻击者成功登录后台
3.22:46攻击者上传了shell,并通过冰蝎连接
4.22:57攻击者创建了hack168$的后门隐藏账号
5.23:02攻击者远程登录服务器
6.23:15左右攻击者上传了挖矿程序并启动
相关资料:
123云盘
