知攻善防web1

前景需要：

小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，这是他的服务器系统，请你找出以下内容，并作为通关条件：

1.攻击者的shell密码

2.攻击者的IP地址

3.攻击者的隐藏账户名称

4.攻击者挖矿程序的矿池域名

用户：

administrator

密码

Zgsf@admin.com

一、Web 服务排查与 WebShell 定位（问题 1）

1.打开靶机，发现桌面有phpstudy应用，我们开启一下

攻击者大概率通过 Web 上传漏洞 / Web RCE 入侵

2.找到网站根目录，直接查杀一下是否存在后门文件，随便什么查杀工具都行

获得webshell路径：C:\phpStudy_pro\WWW\content\plugins \tips\shell.php

查到了一个shell.php的木马病毒文件（信任文件才能打开）

发现典型一句话木马结构，并在代码中直接写死了密码：

攻击者的 shell 密码：rebeyond

二、日志分析定位攻击者 IP

启动服务查看

既然确认是 WebShell 上传，那么攻击者的 IP 一定会出现在 Web 访问日志 中

phpStudy 默认 Apache 日志路径是：

C:\phpstudy_pro\Extensions\Apache2.4.39\logs\

查看logs文件

打开 access.log，结合以下特征筛选：

POST 请求

上传脚本

访问 WebShell 文件

请求参数异常

最终定位到攻击源 IP：

192.168.126.1

所以攻击者的 IP 地址：192.168.126.1

三、攻击者的隐藏用户名

弱口令 admin ，123456可以登录进去

四、挖矿行为以及恶意程序确认

在桌面操作过程中发现：

运行某个可疑程序后

CPU 使用率瞬间 100%

这是非常典型的 挖矿行为特征

锁定挖矿程序：

发现可疑的程序Kuang.exe

使用 PyInstaller 反编译

工具准备：

pyinstxtractor.py

得到一个kuang.pyc文件，用pyc在线反编译网站进行反编译

查看源码，发现里面有一段域名wakuang.zhigongshanfang.top

然后解题即可。