应急响应系列靶场解析教学文档<\/h1>

一、应急响应基础概念<\/h2>
应急响应(Incident Response)是指针对已经发生的安全事件进行调查、分析和处理的过程。本系列靶场通过模拟真实攻击场景，帮助学习者掌握应急响应的基本流程和技能。<\/p>

二、应急响应-web1靶场解析<\/h2>

1. 攻击者信息提取<\/h3>

攻击者的shell密码<\/strong>：<\/p>

分析Apache日志文件查找可疑请求<\/li>
发现shell.php文件路径<\/li>
查看文件内容获取密码：rebeyond<\/code><\/li> <\/ul> 攻击者的IP地址<\/strong>：<\/p> 从Apache日志分析shell.php的访问IP<\/li> 确定为：192.168.126.1<\/code><\/li> <\/ul> 攻击者的隐藏账户名称<\/strong>：<\/p> 使用lusrmgr.msc<\/code>命令查看本地用户<\/li> 发现可疑账户：hack168$<\/code><\/li> 或通过控制面板查看用户账户<\/li> <\/ul> 挖矿程序的矿池域名<\/strong>：<\/p> 登录攻击者创建的隐藏账户<\/li> 发现桌面"Kuang"文件（挖矿程序）<\/li> 使用pyc反编译工具分析： pycdc.exe Kuang.pyc > Kuang.py <\/code><\/pre> <\/li> 从反编译代码中找到矿池域名：wakuang.zhigongshanfang.top<\/code><\/li> <\/ul> 三、应急响应-web2靶场解析<\/h2> 1. 攻击者信息提取<\/h3> 攻击者的IP地址(两个)<\/strong>：<\/p> 分析Apache日志发现扫描流量IP：192.168.126.135<\/code><\/li> 分析FTP日志发现成功登录IP：192.168.126.135<\/code><\/li> 从事件查看器发现远程登录IP：192.168.126.129<\/code><\/li> <\/ul> 攻击者的webshell文件名<\/strong>：<\/p> 从日志分析发现可疑文件：system.php<\/code><\/li> 确认通过FTP服务器上传<\/li> <\/ul> 攻击者的webshell密码<\/strong>：<\/p> 查看system.php文件内容获取密码<\/li> <\/ul> 攻击者的QQ号<\/strong>：<\/p> 在腾讯文件目录下发现疑似QQ号文件<\/li> <\/ul> 攻击者的服务器伪IP地址<\/strong>：<\/p> 查看%userprofile%\/Recent<\/code>目录<\/li> 分析反向代理配置文件获取伪IP<\/li> <\/ul> 攻击者的服务器端口<\/strong>：<\/p> 同上方法从配置文件中获取端口<\/li> <\/ul> 攻击者入侵方式<\/strong>：<\/p> 通过FTP服务器上传webshell入侵<\/li> <\/ul> 攻击者的隐藏用户名<\/strong>：<\/p> 发现隐藏账户：hack887$<\/code><\/li> <\/ul> 四、应急响应-web3靶场解析<\/h2> 1. 攻击者信息提取<\/h3> 攻击者的两个IP地址<\/strong>：<\/p> 分析日志发现：192.168.75.130<\/code>和193.168.75.129<\/code><\/li> <\/ul> 攻击者隐藏用户的名称<\/strong>：<\/p> 使用事件查看器查找4720事件ID<\/li> 或通过计算机管理查看本地用户和组<\/li> <\/ul> 攻击者留下的三个flag<\/strong>：<\/p> 在计划任务中发现system.bat文件<\/li> 在system.bat文件中发现第二个flag<\/li> 在网站后台发现hacker账户中的flag 使用Z-BlogPHP重置密码工具<\/li> 重置hacker账户密码后登录查看<\/li> <\/ul> <\/li> <\/ol> 五、应急响应-近源渗透靶场解析<\/h2> 1. 攻击者信息提取<\/h3> 攻击者的外网IP地址<\/strong>：<\/p> 分析可疑文件（如带宏的文件）<\/li> 使用沙箱分析获取外网IP<\/li> <\/ul> 攻击者的内网跳板IP地址<\/strong>：<\/p> 排查可疑文件（如phpstudy相关文件）<\/li> 运行后使用netstat -ano<\/code>查看连接IP<\/li> <\/ul> 攻击者使用的限速软件的md5<\/strong>：<\/p> 在C盘发现可疑ARP劫持软件<\/li> 计算文件MD5值（需大写）<\/li> <\/ul> 攻击者的后门md5<\/strong>：<\/p> 发现粘滞键后门（连续按5次shift触发）<\/li> 计算后门文件MD5值（需大写）<\/li> <\/ul> 攻击者留下的flag<\/strong>：<\/p> 在粘滞键后门中发现flag<\/li> <\/ul> 六、应急响应-挖矿案例靶场解析<\/h2> 1. 攻击者信息提取<\/h3> 攻击者开始攻击的时间<\/strong>：<\/p> 分析Windows日志中的密码爆破记录<\/li> 最早攻击时间：2024\/5\/21 20:25:22<\/code><\/li> <\/ul> 攻击者的ip地址<\/strong>：<\/p> 从日志中发现攻击IP：192.168.115.131<\/code><\/li> <\/ul> 攻击者攻击的端口<\/strong>：<\/p> 针对RDP服务的攻击：3389<\/code>端口<\/li> <\/ul> 挖矿程序的md5<\/strong>：<\/p> 通过任务管理器发现可疑进程<\/li> 定位挖矿程序文件计算MD5<\/li> <\/ul> 后门脚本的md5<\/strong>：<\/p> 使用工具如Autoruns或火绒剑分析<\/li> 发现使挖矿程序持续运行的脚本<\/li> 计算脚本文件MD5值<\/li> <\/ul> 矿池地址(仅域名)<\/strong>：<\/p> 查看挖矿程序config文件<\/li> 发现矿池地址：auto.c3pool.org<\/code><\/li> <\/ul> 攻击者的钱包地址<\/strong>：<\/p> 从config文件中user字段获取： 4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y<\/code><\/li> <\/ul> 攻击者入侵方式<\/strong>：<\/p> 通过爆破3389端口RDP服务进入<\/li> <\/ul> 七、应急响应通用流程总结<\/h2> 日志分析<\/strong>：<\/p> Web服务器日志（Apache\/IIS）<\/li> 系统日志（Windows事件查看器）<\/li> 服务日志（FTP、SSH等）<\/li> <\/ul> <\/li> 文件分析<\/strong>：<\/p> 查找可疑文件（webshell、挖矿程序等）<\/li> 分析文件内容（密码、配置等）<\/li> 计算文件哈希（MD5、SHA1等）<\/li> <\/ul> <\/li> 账户检查<\/strong>：<\/p> 检查新增\/可疑用户账户<\/li> 特别注意以$结尾的隐藏账户<\/li> 检查用户组成员变化<\/li> <\/ul> <\/li> 进程与服务检查<\/strong>：<\/p> 使用任务管理器查看可疑进程<\/li> 检查新增\/可疑服务<\/li> 检查计划任务<\/li> <\/ul> <\/li> 网络连接检查<\/strong>：<\/p> 使用netstat -ano<\/code>查看异常连接<\/li> 检查防火墙规则变化<\/li> <\/ul> <\/li> 后门检查<\/strong>：<\/p> 检查常见后门位置（如粘滞键替换）<\/li> 检查启动项、服务等持久化方式<\/li> <\/ul> <\/li> <\/ol> 八、常用工具推荐<\/h2> 日志分析<\/strong>：<\/p> LogParser<\/li> ELK Stack<\/li> <\/ul> <\/li> 文件分析<\/strong>：<\/p> D盾、河马查杀（webshell检测）<\/li> PEiD、Detect It Easy（PE文件分析）<\/li> Pycdc（Python反编译）<\/li> <\/ul> <\/li> 系统检查<\/strong>：<\/p> Autoruns（启动项检查）<\/li> Process Explorer（进程检查）<\/li> Process Monitor（进程监控）<\/li> <\/ul> <\/li> 网络分析<\/strong>：<\/p> Wireshark（流量分析）<\/li> TCPView（网络连接查看）<\/li> <\/ul> <\/li> 综合工具<\/strong>：<\/p> 火绒剑<\/li> Sysinternals Suite<\/li> <\/ul> <\/li> <\/ol> 九、防御建议<\/h2> 账户安全<\/strong>：<\/p> 禁用或重命名默认管理员账户<\/li> 启用账户锁定策略<\/li> 定期审计用户账户<\/li> <\/ul> <\/li> 服务安全<\/strong>：<\/p> 关闭不必要的服务<\/li> 更改默认服务端口<\/li> 限制服务访问IP<\/li> <\/ul> <\/li> 日志监控<\/strong>：<\/p> 确保关键日志开启<\/li> 集中收集和分析日志<\/li> 设置日志告警<\/li> <\/ul> <\/li> 文件监控<\/strong>：<\/p> 监控关键目录文件变化<\/li> 设置文件完整性检查<\/li> <\/ul> <\/li> 网络防御<\/strong>：<\/p> 配置防火墙规则<\/li> 启用入侵检测系统<\/li> 定期进行漏洞扫描<\/li> <\/ul> <\/li> <\/ol> 通过本系列靶场的实践，可以全面掌握应急响应的基本流程和技能，提高对各类攻击的识别和处置能力。<\/p>

应急响应系列靶场解析教学文档<\/h1>

一、应急响应基础概念<\/h2> 应急响应(Incident Response)是指针对已经发生的安全事件进行调查、分析和处理的过程。本系列靶场通过模拟真实攻击场景，帮助学习者掌握应急响应的基本流程和技能。<\/p>

二、应急响应-web1靶场解析<\/h2>

三、应急响应-web2靶场解析<\/h2>

四、应急响应-web3靶场解析<\/h2>

五、应急响应-近源渗透靶场解析<\/h2>

六、应急响应-挖矿案例靶场解析<\/h2>

一、应急响应基础概念<\/h2>
应急响应(Incident Response)是指针对已经发生的安全事件进行调查、分析和处理的过程。本系列靶场通过模拟真实攻击场景，帮助学习者掌握应急响应的基本流程和技能。<\/p>