win+r mstsc连接
不能联网,不然直接河马查杀一下
把www文件夹压缩下载下来用河马在线网站也是直接得到冰蝎木马文件:
/WWW/content/plugins/tips/shell.php
在www文件夹直接搜索shell文件(盲猜)
找到连接密码flag{rebeyond}
直接找apache目录看日志
phpstudy_pro/Extensions/Apache2.4.39
flag{192.168.126.1}
日志查看器,过滤4720日志ID,4720意思是用户账户创建
flag{hacker138}
查看资源监视器,网络,以为里边连接的就是,结果不是,是自己的rdp域名连接信息。
9.23.8.221.adsl-pool.jlccptt.net.cn
EC2AMAZ-2OBTHUT.cn-northwest-1.compute.internal
不会了,看wp,需要反编译exe文件查找挖矿域名,所以下载
https://raw.gitcode.com/gh_mirrors/py/pyinstxtractor/archive/refs/heads/master.zip
运行反编译命令得到反编译后的文件夹,里面找到kuang.pyc,txt打开看到域名
flag{wakuang.zhigongshanfang.top}
细节在于看exe图标是pyinstaller打包,使用pyinstxtractor进行反编译
收获:
1.得到挖矿exe,分析挖矿域名,需要反编译exe,可以针对环境尝试用对应的语言反编译器。
2.黑客创建隐藏账户,可以进入隐藏账户查看做了什么其它操作。