应急响应

本文最后更新于 2026年3月3日 下午

应急响应合集

一、信息收集-linux

1.当前机器发行版本

1
cat /etc/os-release

2.查看机器用户

1
cat /etc/passwd  or cat /etc/shadow

前景需要:

小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的hxd帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件:

1.攻击者的shell密码

使用d盾扫描网站根目录

image-20260122221422663

image-20260122221403333

发现密码

image-20260122221503601

2.攻击者的IP地址

查看apache日志

image-20260122221545153

全局搜索shell.php

image-20260122221618998

3.攻击者的隐藏账户名称

用工具查看远程桌面登录成功日志

image-20260122221747605

或者查看lusrmgr.msc和compmgmt.msc

image-20260122221838728

或者查看注册表

HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

4.攻击者挖矿程序的矿池域名(仅域名)

找到用户目录下的挖矿程序

image-20260122222210099

看图标是用pyinstaller,用工具提取出pyc文件,并反编译

1
2
https://github.com/extremecoders-re/pyinstxtractor   //提取
https://tool.lu/pyc/    //反编译

image-20260122222432018

image-20260122222450011

第一届solar–mssql

Web安全
应急响应
http://example.com/2026/01/22/应急响应一/
作者
清风
发布于
2026年1月22日
许可协议