应急响应类题练习——玄机第四章 windows实战-emlog

玄机——应急响应简单类题练习

第四章 windows实战-emlog

首先我连接就连接了好久，然后捣鼓了一番摸索清楚了。

按Win键搜索“远程桌面连接”，然后打开后点击显示选项（我就是这里出的问题，一定要记得点开），然后计算机这里输入给的靶场IP，用户名输入靶场的用户名，再点击连接，然后再输入给的靶场密码就能连接成功了。

步骤 #1

通过本地 PC RDP到服务器并且找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交;

1.分析题目

在桌面发现了个工具PHPStudy，查找发现它是一款面向中文用户的 一站式Web开发环境集成工具，主要用于快速搭建和管理 PHP 开发环境。它集成了 Apache/Nginx、PHP、MySQL、FTP 等常用组件，特别适合初学者或需要快速部署本地测试环境的开发者。

既然这个工具这么多功能且明白着出现在了桌面，那么它肯定有大嫌疑，而且题目说查找webshell那么就从这个工具入手。

2.解题

那么就右击该工具，打开它的文件位置

用工具D盾扫描WWW文件夹，将该文件夹压缩之后Ctrl+c.再Ctrl + v，导到本机电脑后，解解压文件到D盾进行扫描，发现了后门

那么在靶机里打开文件修改文件后缀为.txt，查看文件，然后发现了密码rebeyond

得到flag flag{rebeyond}

步骤 #2

通过本地 PC RDP到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;

1.分析题目

受到攻击，那么日志会记载，那么就找到日志文件来进行分析。

2.解题

找日志，发现这个日志文件相较于其他文件大，点击不支持打开，那么复制到桌面，改后缀为.txt进行查看

观察里面的内容，一定用到了shell.php，那么查找

找到IP

得到flag flag{192.168.126.1}

步骤 #3

通过本地 PC RDP到服务器并且分析黑客的隐藏账户名称,将黑客隐藏账户名称作为 FLAG 提交;

1.分析题目

找登录账户的信息，可以查找用户文件夹，或者找计算机管理中的本地用户

2.解题

法一：

点击C盘—>点击用户文件夹—>可以看到一个叫 hacker138的文件夹

法二：

查找计算机管理，可以看到本地用户和组

点击用户，发现了黑客名hacker138

则flag为 flag{hacker138}

步骤 #4

通过本地 PC RDP到服务器并且分析黑客的挖矿程序的矿池域名,将黑客挖矿程序的矿池域名称作为(仅域名)FLAG 提交;

1.分析题目

这里说要分析一个.exe的域名，这里就有个一反编译（哇塞头一次接触，兴奋！），将exe文件转换成pyc文件，再反编译这个pyc文件来获取源码信息。

Python3.9及以上Pyinstaller 反编译教程(exe转py)这里有个教程，Let me学习工具再来！

2.解题

在这个黑客用户的文件夹发现了名为kuang的.exe文件

将.exe文件放在和pyinstxtractor.py文件的同一目录下，并在此目录的位置打开cmd

python pyinstxtractor.py kuang.exe

输入这个命令你得到界面

然后返回目录发现多了文件夹

找到文件Kuang.pyc

将Kuang.pyc拖入010editor，或者在在线网站进行反编译

那么flag为 flag{wakuang.zhigongshanfang.top}

参考文章

玄机——第四章 windows实战-emlog wp