emlog
1
RDP连接软件 Mac:App Center
PHP小皮:网站根目录打包后,
在线webshell查杀:SHELLPUB.COM在线查杀 点击上传 不要拖拽
| 结果 | 详情 | 文件名 |
|---|---|---|
| BLACK | PHP冰蝎木马 | /WWW/content/plugins/tips/shell.php |
打开后注释已写明连接密码为冰蝎
2
通过本地 PC RDP到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;
根据PHP,进入apache的log目录下,直接查shell.php,查到IP
3
通过本地 PC RDP到服务器并且分析黑客的隐藏账户名称,将黑客隐藏账户名称作为 FLAG 提交;
打开文件夹的用户或计算机管理下查看
4
关于挖矿程序的具体分析不完整;都没有解释清楚如何找到这个程序的
通过本地 PC RDP到服务器并且分析黑客的挖矿程序的矿池域名,将黑客挖矿程序的矿池域名称作为(仅域名)FLAG 提交;
任务管理器根据CPU占用分析
进入hacker用户下的桌面目录,发现Wakuang的exe,图标分析是pyinstaller打包
利用saucer-man/exe2py: 一键将python打包的exe反编译成py源码
- exe -> pyc 来自 pyinstxtractor
- pyc -> py 来自 uncompyle6
操作方法:pyinstaller打包的exe文件的反编译_反编译pyinstaller打包的exe-CSDN博客
python exe2py.py exe文件,生成Kuang.exe_extracted目录并进入
uncompyle6 exe文件同名的pyc文件
参考:
玄机——第四章 windows实战-emlog wp-CSDN博客
windows实战-wordpress wp
1、请提交攻击者攻击成功的第一时间,格式:flag{YY:MM:DD hh:mm:ss}
2、请提交攻击者的浏览器版本 flag{Firgfox/2200}
3、请提交攻击者目录扫描所使用的工具名称
4、找到攻击者写入的恶意后门文件,提交文件名(完整路径)
5、找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)
6、请指出可疑进程采用的自动启动的方式,启动的脚本的名字 flag{1.exe}
1 nginx access日志
2 日志 UA头
3
4 webshell分析
5 同4,分析或file_put_content
6 360.exe 沙箱分析,1.bat