ATT&CK-蓝队防御(一)

0x01前景需要

前景需要:
小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:

1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名

用户:
administrator
密码:
Zgsf@admin.com

0x02攻击者的shell密码与IP地址

打开文件夹就看到有个日志,用的小皮面板搭建的服务器

放入kali或者linux的系统都可,利用命令找找恶意文件

awk '{print $1,$7}' access.log.1708905600  | sort | uniq -c | grep -v '::1' | grep '.php'
awk '{print $1,$7}'直接提取第一行第七列,主要是IP
sort 对提取的所有行进行字母排序
uniq -c 统计每一条重复内容的具体出现次数,并添加在行首
grep -v '::1'   筛选出不包含 ::1 的行
grep '.php'   筛选出包含 .php 的行

成功找到恶意文件shell.php,攻击者IP为192.168.126.1,访问了上万次

找到位置

0x03攻击者的隐藏账户

打开win+r-->lusrmgr.msc

攻击者用的影子账号一下就找到了

0x04攻击者挖矿程序的矿池域名

找CPU占用率高或者显卡占用率高的程序,发现并没有

利用攻击者注册的账号登录看看,给他设置一个新密码

hack168:admin@123

桌上有一个Kuang的python打包成的exe文件,我们对其进行解包再反编译看看有什么

解包

再对pyc的文件进行反编译

这是矿池:http://wakuang.zhigongshanfang.top

0x05修复漏洞

发现攻击者对这个接口一直发起POST请求

连上数据库后看看能不能解出来

hashcat.exe -m 400 code.txt --show
hashcat.exe -m 400 code.txt rockyou.txt --show

利用了插件的入口

找了文章发现是用这个站的漏洞打进来的,利用插件插入恶意木马

https://blog.csdn.net/2301_80127209/article/details/139964186

总结就是要更新一下系统或者打补丁https://github.com/emlog/,管理员要使用强密码