应急响应:初识
解压压缩包,打开 VMware 右键->扫描虚拟机

选择刚才解压的目录,点击完成。启动虚拟机,选择我已复制该虚拟机

输入密码进入桌面后,打开设置-应用-安装的应用,可以看到安装了 phpstudy
打开 phpstudy,在网站栏,点击管理-打开根目录,可以快速定位网站路径

木马连接密码
我们进入 uploads 文件夹,在查看中,勾选查看隐藏的项目,可以看到___.php

打开文件时,发现 windows defender 爆出发现威胁。我们还原后查看文件

可以看出这是冰蝎马,$key 验证连接密码 md5 值的前 16 位,我们将默认密码计算 md5,可以发现前 16 位一致
得到木马连接密码 rebeyond
创建账号工具发布时间
打开 User 目录,在 User 目录下有一个 exe 文件,且 windows defender 再次爆出威胁提示

我们搜索该 exe 的文件名,可以得知这个 exe 程序就是创建账号的工具,在 github 项目中 Releases 得到时间

2022_01_18
影子用户密码
这里我使用 mimikatz 去获取密码 hash
plaintext
privilege::debug
lsadump::sam
得到 Hash NTLM 后,使用 hashcat 进行爆破

bash
hashcat.exe -m 1000 -a 3 7e5c358b43a26bddec105574bee24eef ?a?a?a?a?a?a
hashcat.exe -m 1000 -a 3 7e5c358b43a26bddec105574bee24eef ?a?a?a?a?a?a --showNs2025