应急响应练习靶机-web1
1)背景
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:
1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名(仅域名)
相关账户密码
用户:administrator
密码:Zgsf@admin.com
1、进去发现有小皮打开看了下网站的根目录,翻看了下发现了名为shell.php文件打开发现后门密码shell密码为默认密码rebeyond
2、随后咱们去看下网站的日志文件,看了一些发现只有apache有日志,打开发现攻击者ip,并发现他在后太访问/content/plugins/tips/目录,并成功上传了shell.php后门文件
3、隐藏账户,一打开控制面板就找到了hack168,或者在登录日志上也能看到还有控制表
4、接下来我们寻找挖矿程序和外联域名,咱们肯定要先找到挖矿程序,因为已经找到隐藏用户,咱们先去隐藏用户的目录看看,找到挖矿程序
使用工具进行反编译
转换为pyc文件最终得到外联矿池地址wakuang.zhigongshanfang.top
原文地址:https://blog.csdn.net/qq_63449412/article/details/147159820
免责声明:本站文章内容转载自网络资源,如侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!