应急响应系列靶场解析
字数 2573 2025-08-22 12:23:25

应急响应系列靶场解析教学文档

一、应急响应基础概念

应急响应(Incident Response)是指针对已经发生的安全事件进行调查、分析和处理的过程。本系列靶场通过模拟真实攻击场景,帮助学习者掌握应急响应的基本流程和技能。

二、应急响应-web1靶场解析

1. 攻击者信息提取

攻击者的shell密码

  • 分析Apache日志文件查找可疑请求
  • 发现shell.php文件路径
  • 查看文件内容获取密码:rebeyond

攻击者的IP地址

  • 从Apache日志分析shell.php的访问IP
  • 确定为:192.168.126.1

攻击者的隐藏账户名称

  • 使用lusrmgr.msc命令查看本地用户
  • 发现可疑账户:hack168$
  • 或通过控制面板查看用户账户

挖矿程序的矿池域名

  • 登录攻击者创建的隐藏账户
  • 发现桌面"Kuang"文件(挖矿程序)
  • 使用pyc反编译工具分析: 
    pycdc.exe Kuang.pyc > Kuang.py
  • 从反编译代码中找到矿池域名:wakuang.zhigongshanfang.top

三、应急响应-web2靶场解析

1. 攻击者信息提取

攻击者的IP地址(两个)

  • 分析Apache日志发现扫描流量IP:192.168.126.135
  • 分析FTP日志发现成功登录IP:192.168.126.135
  • 从事件查看器发现远程登录IP:192.168.126.129

攻击者的webshell文件名

  • 从日志分析发现可疑文件:system.php
  • 确认通过FTP服务器上传

攻击者的webshell密码

  • 查看system.php文件内容获取密码

攻击者的QQ号

  • 在腾讯文件目录下发现疑似QQ号文件

攻击者的服务器伪IP地址

  • 查看%userprofile%/Recent目录
  • 分析反向代理配置文件获取伪IP

攻击者的服务器端口

  • 同上方法从配置文件中获取端口

攻击者入侵方式

  • 通过FTP服务器上传webshell入侵

攻击者的隐藏用户名

  • 发现隐藏账户:hack887$

四、应急响应-web3靶场解析

1. 攻击者信息提取

攻击者的两个IP地址

  • 分析日志发现:192.168.75.130193.168.75.129

攻击者隐藏用户的名称

  • 使用事件查看器查找4720事件ID
  • 或通过计算机管理查看本地用户和组

攻击者留下的三个flag

  1. 在计划任务中发现system.bat文件
  2. 在system.bat文件中发现第二个flag
  3. 在网站后台发现hacker账户中的flag
    • 使用Z-BlogPHP重置密码工具
    • 重置hacker账户密码后登录查看

五、应急响应-近源渗透靶场解析

1. 攻击者信息提取

攻击者的外网IP地址

  • 分析可疑文件(如带宏的文件)
  • 使用沙箱分析获取外网IP

攻击者的内网跳板IP地址

  • 排查可疑文件(如phpstudy相关文件)
  • 运行后使用netstat -ano查看连接IP

攻击者使用的限速软件的md5

  • 在C盘发现可疑ARP劫持软件
  • 计算文件MD5值(需大写)

攻击者的后门md5

  • 发现粘滞键后门(连续按5次shift触发)
  • 计算后门文件MD5值(需大写)

攻击者留下的flag

  • 在粘滞键后门中发现flag

六、应急响应-挖矿案例靶场解析

1. 攻击者信息提取

攻击者开始攻击的时间

  • 分析Windows日志中的密码爆破记录
  • 最早攻击时间:2024/5/21 20:25:22

攻击者的ip地址

  • 从日志中发现攻击IP:192.168.115.131

攻击者攻击的端口

  • 针对RDP服务的攻击:3389端口

挖矿程序的md5

  • 通过任务管理器发现可疑进程
  • 定位挖矿程序文件计算MD5

后门脚本的md5

  • 使用工具如Autoruns或火绒剑分析
  • 发现使挖矿程序持续运行的脚本
  • 计算脚本文件MD5值

矿池地址(仅域名)

  • 查看挖矿程序config文件
  • 发现矿池地址:auto.c3pool.org

攻击者的钱包地址

  • 从config文件中user字段获取:
    4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

攻击者入侵方式

  • 通过爆破3389端口RDP服务进入

七、应急响应通用流程总结

  1. 日志分析

    • Web服务器日志(Apache/IIS)
    • 系统日志(Windows事件查看器)
    • 服务日志(FTP、SSH等)

  2. 文件分析

    • 查找可疑文件(webshell、挖矿程序等)
    • 分析文件内容(密码、配置等)
    • 计算文件哈希(MD5、SHA1等)

  3. 账户检查

    • 检查新增/可疑用户账户
    • 特别注意以$结尾的隐藏账户
    • 检查用户组成员变化

  4. 进程与服务检查

    • 使用任务管理器查看可疑进程
    • 检查新增/可疑服务
    • 检查计划任务

  5. 网络连接检查

    • 使用netstat -ano查看异常连接
    • 检查防火墙规则变化

  6. 后门检查

    • 检查常见后门位置(如粘滞键替换)
    • 检查启动项、服务等持久化方式

八、常用工具推荐

  1. 日志分析

    • LogParser
    • ELK Stack

  2. 文件分析

    • D盾、河马查杀(webshell检测)
    • PEiD、Detect It Easy(PE文件分析)
    • Pycdc(Python反编译)

  3. 系统检查

    • Autoruns(启动项检查)
    • Process Explorer(进程检查)
    • Process Monitor(进程监控)

  4. 网络分析

    • Wireshark(流量分析)
    • TCPView(网络连接查看)

  5. 综合工具

    • 火绒剑
    • Sysinternals Suite

九、防御建议

  1. 账户安全

    • 禁用或重命名默认管理员账户
    • 启用账户锁定策略
    • 定期审计用户账户

  2. 服务安全

    • 关闭不必要的服务
    • 更改默认服务端口
    • 限制服务访问IP

  3. 日志监控

    • 确保关键日志开启
    • 集中收集和分析日志
    • 设置日志告警

  4. 文件监控

    • 监控关键目录文件变化
    • 设置文件完整性检查

  5. 网络防御

    • 配置防火墙规则
    • 启用入侵检测系统
    • 定期进行漏洞扫描

通过本系列靶场的实践,可以全面掌握应急响应的基本流程和技能,提高对各类攻击的识别和处置能力。

应急响应系列靶场解析教学文档 一、应急响应基础概念 应急响应(Incident Response)是指针对已经发生的安全事件进行调查、分析和处理的过程。本系列靶场通过模拟真实攻击场景,帮助学习者掌握应急响应的基本流程和技能。 二、应急响应-web1靶场解析 1. 攻击者信息提取 攻击者的shell密码 : 分析Apache日志文件查找可疑请求 发现shell.php文件路径 查看文件内容获取密码: rebeyond 攻击者的IP地址 : 从Apache日志分析shell.php的访问IP 确定为: 192.168.126.1 攻击者的隐藏账户名称 : 使用 lusrmgr.msc 命令查看本地用户 发现可疑账户: hack168$ 或通过控制面板查看用户账户 挖矿程序的矿池域名 : 登录攻击者创建的隐藏账户 发现桌面"Kuang"文件(挖矿程序) 使用pyc反编译工具分析: 从反编译代码中找到矿池域名: wakuang.zhigongshanfang.top 三、应急响应-web2靶场解析 1. 攻击者信息提取 攻击者的IP地址(两个) : 分析Apache日志发现扫描流量IP: 192.168.126.135 分析FTP日志发现成功登录IP: 192.168.126.135 从事件查看器发现远程登录IP: 192.168.126.129 攻击者的webshell文件名 : 从日志分析发现可疑文件: system.php 确认通过FTP服务器上传 攻击者的webshell密码 : 查看system.php文件内容获取密码 攻击者的QQ号 : 在腾讯文件目录下发现疑似QQ号文件 攻击者的服务器伪IP地址 : 查看 %userprofile%/Recent 目录 分析反向代理配置文件获取伪IP 攻击者的服务器端口 : 同上方法从配置文件中获取端口 攻击者入侵方式 : 通过FTP服务器上传webshell入侵 攻击者的隐藏用户名 : 发现隐藏账户: hack887$ 四、应急响应-web3靶场解析 1. 攻击者信息提取 攻击者的两个IP地址 : 分析日志发现: 192.168.75.130 和 193.168.75.129 攻击者隐藏用户的名称 : 使用事件查看器查找4720事件ID 或通过计算机管理查看本地用户和组 攻击者留下的三个flag : 在计划任务中发现system.bat文件 在system.bat文件中发现第二个flag 在网站后台发现hacker账户中的flag 使用Z-BlogPHP重置密码工具 重置hacker账户密码后登录查看 五、应急响应-近源渗透靶场解析 1. 攻击者信息提取 攻击者的外网IP地址 : 分析可疑文件(如带宏的文件) 使用沙箱分析获取外网IP 攻击者的内网跳板IP地址 : 排查可疑文件(如phpstudy相关文件) 运行后使用 netstat -ano 查看连接IP 攻击者使用的限速软件的md5 : 在C盘发现可疑ARP劫持软件 计算文件MD5值(需大写) 攻击者的后门md5 : 发现粘滞键后门(连续按5次shift触发) 计算后门文件MD5值(需大写) 攻击者留下的flag : 在粘滞键后门中发现flag 六、应急响应-挖矿案例靶场解析 1. 攻击者信息提取 攻击者开始攻击的时间 : 分析Windows日志中的密码爆破记录 最早攻击时间: 2024/5/21 20:25:22 攻击者的ip地址 : 从日志中发现攻击IP: 192.168.115.131 攻击者攻击的端口 : 针对RDP服务的攻击: 3389 端口 挖矿程序的md5 : 通过任务管理器发现可疑进程 定位挖矿程序文件计算MD5 后门脚本的md5 : 使用工具如Autoruns或火绒剑分析 发现使挖矿程序持续运行的脚本 计算脚本文件MD5值 矿池地址(仅域名) : 查看挖矿程序config文件 发现矿池地址: auto.c3pool.org 攻击者的钱包地址 : 从config文件中user字段获取: 4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y 攻击者入侵方式 : 通过爆破3389端口RDP服务进入 七、应急响应通用流程总结 日志分析 : Web服务器日志(Apache/IIS) 系统日志(Windows事件查看器) 服务日志(FTP、SSH等) 文件分析 : 查找可疑文件(webshell、挖矿程序等) 分析文件内容(密码、配置等) 计算文件哈希(MD5、SHA1等) 账户检查 : 检查新增/可疑用户账户 特别注意以$结尾的隐藏账户 检查用户组成员变化 进程与服务检查 : 使用任务管理器查看可疑进程 检查新增/可疑服务 检查计划任务 网络连接检查 : 使用 netstat -ano 查看异常连接 检查防火墙规则变化 后门检查 : 检查常见后门位置(如粘滞键替换) 检查启动项、服务等持久化方式 八、常用工具推荐 日志分析 : LogParser ELK Stack 文件分析 : D盾、河马查杀(webshell检测) PEiD、Detect It Easy(PE文件分析) Pycdc(Python反编译) 系统检查 : Autoruns(启动项检查) Process Explorer(进程检查) Process Monitor(进程监控) 网络分析 : Wireshark(流量分析) TCPView(网络连接查看) 综合工具 : 火绒剑 Sysinternals Suite 九、防御建议 账户安全 : 禁用或重命名默认管理员账户 启用账户锁定策略 定期审计用户账户 服务安全 : 关闭不必要的服务 更改默认服务端口 限制服务访问IP 日志监控 : 确保关键日志开启 集中收集和分析日志 设置日志告警 文件监控 : 监控关键目录文件变化 设置文件完整性检查 网络防御 : 配置防火墙规则 启用入侵检测系统 定期进行漏洞扫描 通过本系列靶场的实践,可以全面掌握应急响应的基本流程和技能,提高对各类攻击的识别和处置能力。