目标
首先看到我们有个phpstudy,打开看看
看到apache的日志文件,可以看到有个192.168.126.1的家伙大量访问,而且访问的是accout.php?action=dosignin,看上去像是爆破登录
一直到这里变了
之后他开始访问不少/admin下的php文件,而且开始一些二upload_check upload_zip,应该是爆破成功开始上传webshell了
这里有个就是成功上传了getshell了
看看这个shell.php很可能就是一个木马,点开看到
原来是冰蝎的webshell后门,默认密码就是rebeyond的md5前16位,看来他是通过冰蝎访问到我们的主机了
看问题他是开了一个隐藏账户作为后门,隐藏账户在net user看不到,去本地用户和组看一看
发现就是hack168$,我们是管理员直接修改密码登录
使用hack168$重新登录后就会发现了挖矿的木马
应该是python编译成的exe执行文件,我们只需要重新反编译成python就行了
反汇编就得到了一个结果
看到了结果模拟矿池域名 wakuang.zhigongshanfang.top
结果也就是出来了