玄机蓝队靶场_应急响应_61:windows实战-emlog

win+r mstsc连接
不能联网，不然直接河马查杀一下
把www文件夹压缩下载下来用河马在线网站也是直接得到冰蝎木马文件：
/WWW/content/plugins/tips/shell.php

在www文件夹直接搜索shell文件（盲猜）
找到连接密码flag{rebeyond}


直接找apache目录看日志
phpstudy_pro/Extensions/Apache2.4.39
flag{192.168.126.1}

日志查看器，过滤4720日志ID，4720意思是用户账户创建
flag{hacker138}

查看资源监视器，网络，以为里边连接的就是，结果不是，是自己的rdp域名连接信息。
9.23.8.221.adsl-pool.jlccptt.net.cn
EC2AMAZ-2OBTHUT.cn-northwest-1.compute.internal

不会了，看wp，需要反编译exe文件查找挖矿域名，所以下载
https://raw.gitcode.com/gh_mirrors/py/pyinstxtractor/archive/refs/heads/master.zip
运行反编译命令得到反编译后的文件夹，里面找到kuang.pyc，txt打开看到域名
flag{wakuang.zhigongshanfang.top}

细节在于看exe图标是pyinstaller打包，使用pyinstxtractor进行反编译

收获：
1.得到挖矿exe，分析挖矿域名，需要反编译exe，可以针对环境尝试用对应的语言反编译器。
2.黑客创建隐藏账户，可以进入隐藏账户查看做了什么其它操作。