简介
服务器场景操作系统 Windows
服务器账号密码 administrator xj@123456
1. 通过本地 PC RDP到服务器并且找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交;
打开桌面的小皮,打开网站的根目录
用 D盾 扫描根目录(把D盾复制粘贴到靶机或者把根目录复制粘贴到本机)
发现了一个后门文件
找到这个 shell.php 打开
发现是冰蝎的默认密码
flag{rebeyond}
2.通过本地 PC RDP到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;
根据题意,分析日志,根据小皮面板的信息可以知道是 Apache,路径是 phpstudy_pro\Extensions\Apache2.4.39\logs,
发现有一个日志内存大小异常,打开它,按 ctrl+F 搜索 shell,发现 192.168.126.1 多次访问 shell.php
flag{192.168.126.1}
3.通过本地 PC RDP到服务器并且分析黑客的隐藏账户名称,将黑客隐藏账户名称作为 FLAG 提交;
在 C盘用户目录发现了隐藏账户
flag{hacker138}
4.通过本地 PC RDP到服务器并且分析黑客的挖矿程序的矿池域名,将黑客挖矿程序的矿池域名称作为(仅域名)FLAG 提交;
在桌面找到位置程序,猜测为挖矿程序,该图标为pyinstaller打包,使用pyinstxtractor进行反编译(GitHub - extremecoders-re/pyinstxtractor: PyInstaller Extractor)
python pyinstxtractor.py kuang.exe
打开 pyc 在线反编译(Python3 在线工具 | 菜鸟工具),导入 pyc 文件后发现了池域名
flag{wakuang.zhigongshanfang.top}
Flag
flag{rebeyond}
flag{192.168.126.1}
flag{hacker138}
flag{wakuang.zhigongshanfang.top}