注册服务公司流程和费用网站很卡如何优化
一、背景
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名
用户:
administrator
密码
Zgsf@admin.com
二、环境准备
关掉防火墙,因为后续涉及到webshell后门,会被杀掉,无法研判
三、开始
1.挑战一
在桌面看到小皮面板,发现存在网站
因为挑战一是shell密码,涉及到webshell,websehll可能藏在网站目录里面
因为文件较多,这里使用河马进行查杀。先将www目录压缩,再上传线上查杀。
SHELLPUB.COM在线查杀
查杀结果表明存在冰蝎木马
可以看到连接密钥,暂时还无法确定密码是什么,初步猜测是默认密码 。使用工具对默认密码进行MD5加密,发现前16位就是连接密钥,因此shell密码就是rebeyond
2.挑战二
攻击者需要连接webshell,因此ip可能被反向代理记录下来,查看日志寻找。
其中,nginx日志是空的,apache日志有数据
根据文件大小发现日志文件
进入日志文件后,对shell.php搜索,发现连接ip,应该就是攻击者ip,为192.168.126.1
3.挑战三
使用net user 和 wmic useraccount get name 两个命令,发现比较之下多了一个“hack168$”账户,因此这就是攻击者的隐藏账户
1. net user命令
net user命令在显示用户账户时,默认会隐藏以$结尾的账户。这些账户通常是系统服务账户或隐藏账户,例如你输出中的hack168$。
net user主要用于管理用户账户,因此它会过滤掉一些系统认为“不重要”或“隐藏”的账户,以简化管理界面。
这种行为是设计上的默认过滤机制,目的是让用户更专注于常规用户账户的管理。2. wmic useraccount get name命令
wmic(Windows Management Instrumentation Command-line)工具用于管理系统的各种资源,它的输出更加全面,不会自动过滤以$结尾的账户。
wmic工具的目的是提供系统级别的详细信息,因此它会列出所有用户账户,包括隐藏账户和系统服务账户。
这使得wmic更适合用于系统管理员进行详细的系统检查和故障排除。3. 为什么hack168$只在wmic中显示?
hack168$是一个隐藏账户,以$结尾。根据net user的默认行为,它会自动隐藏这类账户,而wmic则会显示所有账户,包括隐藏账户。因此,hack168$只在wmic的输出中显示,而在net user的输出中被隐藏。总结
net user:主要用于用户管理,会隐藏以$结尾的账户。
wmic useraccount get name:用于系统管理,会显示所有账户,包括隐藏账户。同时,也可以在控制面板中发现隐藏的账户。
4.挑战四
首先在控制面板处更改隐藏账户的密码,方便等会登进去(ps:因为我们现在是管理员身份,有这个权限)
同时按 ctrl+alt+delete,切换用户
进入桌面后发现有个python打包的exe程序,很有可能是挖矿程序(ps:双击之后,虚拟机直接卡死,黑屏了,我是重启才解决问题的),而且没有发现其它的配置信息,需要对exe进行反编译看源码了。
先使用脚本提取.pyc文件,脚本下载链接:GitHub - WithSecureLabs/python-exe-unpacker: A helper script for unpacking and decompiling EXEs compiled from python code. 然后将虚拟机里面的exe文件拖出来,放到脚本的目录下
使用命令提取
python .\pyinstxtractor.py .\Kuang.exe
发现多了一个文件夹
将新文件夹里面的kuang,重命名为kuang.pyc
使用 uncompyle6或者在线工具对pyc文件进行反编译
uncompyle6 文件名.pyc > 文件名.py
正常情况下到这一步就可以看到源代码了,但是显示错误了
提取出来的 .pyc 文件可能缺少一些必要的头信息(如 magic 和时间戳)。如果直接反编译报错,可以使用十六进制编辑器(如 UltraEdit 或 WinHex)手动修复。
打开 .pyc 文件,检查前 16 个字节是否完整。
如果缺失,可以从其他正常的 .pyc 文件中获取 magic 字节(前 4 个字节),并手动插入。这里需要对pyc文件进行修复后再进行反编译,这个我看很多博主的文章都是直接跳过的,我尝试过修复后还是失败了,这里实在不懂了。
不过可以看到一个网址,猜测应该就是矿池域名了,wakuang.zhigongshanfang.top
下面是从别的地方看到的源代码
四、验证
ps:输入最后一个答案后会闪退,原因是源代码中没有没有相关延时逻辑