玄机-第四章 windows实战-emlog的测试报告
目录
一、测试环境
二、测试目的
三、操作过程
Flag1
Flag2
Flag3
Flag4
四、结论
一、测试环境
靶场介绍:国内厂商设置的玄机靶场,以应急响应题目著名。
地址:https://xj.edisec.net/challenges/61
靶机IP:161.189.92.222
环境rdp登录:Administrator xj@123456
靶机简介:
该靶机与知攻善防实验室的应急响应靶机训练-Web1相同
二、测试目的
根据题目要求进行应急响应,完成题目,提交flag。
三、操作过程
Flag1
根据桌面的phpstudy路径,找到web路径www,拷贝下来。用D盾查杀,找到shell.php
找到该文件,发现是冰蝎的默认php木马。里面写出,默认连接密码为:rebeyond
Flag1:flag{rebeyond}
Flag2
分析web日志,寻找攻击IP,小皮的web日志在extensions中。其中nginx的日志为空,分析apache的日志
通过查找shell.php定位攻击记录,找到攻击IP为:192.168.126.1
Flag2:flag{192.168.126.1}
Flag3
在计算机管理中,本地用户和组能看到隐藏账户:hacker138
Flag3:flag{hacker138}
Flag4
在隐藏账户hacker138的桌面上找到挖矿程序
使用pyinstxtractor进行反编译,得到pyc文件
GitHub地址:https://github.com/extremecoders-re/pyinstxtractor
python pyinstxtractor.py Kuang.exe
可在Kuang.pyc中找到矿池域名:wakuang.zhigongshanfang.top
Flag4:flag{wakuang.zhigongshanfang.top}
四、结论
靶机偏简单,设置了应急响应的基本流程。放了一个挖矿程序用来分析。