知攻善防应急响应靶场练习-web1

题目描述

前景需要：
小李在值守的过程中，发现有[CPU](https://so.csdn.net/so/search?q=CPU&spm=1001.2101.3001.7020)占用飙升，出于胆子小，就立刻将服务器关机，这是他的服务器系统，请你找出以下内容，并作为通关条件：

1.攻击者的shell密码
2.攻击者的IP地址
3.攻击者的隐藏账户名称
4.攻击者挖矿程序的矿池域名

用户：administrator
密码：Zgsf@admin.com

解题步骤

1.攻击者的shell密码

我们先来分析下apache的日志文件

这个shell.php很有问题呀，且进行了url编码，我们去看一下这个shell.php是不是上传了

有大问题呀，这不是木马文件吗，所以我们确定了shell密码为rebeyond

2.攻击者的IP地址

那么说明上传这个文件的ip即为攻击者的ip，所以日志中出现的192.168.126.1便是此题的答案

3.攻击者的隐藏账户名称

先做的web2、3，很轻易得的找到隐藏账户为hack168

4.攻击者挖矿程序的矿池域名

在隐藏账户下找到了kuang.exe，大概这就是挖矿程序了，但真没想到后面还要反编译，没有涉及

请参考官方wp或者其他人的步骤

答案

题目	答案
1.攻击者的shell密码	rebeyond
2.攻击者的IP地址	192.168.126.1
3.攻击者的隐藏账户名称	hack168
4.攻击者挖矿程序的矿池域名	wakuang.zhigongshanfang.top