应急响应靶场——web3 ——知攻善防实验室
前景需要:
小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。这是他的服务器,请你找出以下内容作为通关条件:
1. 攻击者的两个IP地址
2. 隐藏用户名称
3. 黑客遗留下的flag【3个】
虚拟机登录:
账号:Administrator
密码:xj@123456
1.攻击者的两个IP地址
D盾扫一下,发现已知后门
查到后门含有 404.php 查找日志(此ip是攻击者通过上传木马 与自己的ip进行连接)
在该目录下查看日志发现ip1为192.168.75.129
接下来查找另外一个远程连接暴露的ip,存在远程连接,查找ip
通过查看应用程序和服务日志来查询
筛选当前日志--1149代表远程连接成功
192.168.75.130
2.攻击者隐藏用户名称
hack6618$
3.三个攻击者留下的flag
第一个flag在任务计划程序里面
flag{zgsfsys@sec}
第二个flag在hack6618$用户的下载目录下
C:\Users\hack6618$\Downloads
打开 system.bat 文件后发现是执行 写入一句话木马 的操作,还打印了一个flag
flag{888666abc}
第三个flag
发现是z-blog
在 Z-Blog 官网找到密码找回工具(免密登录)
#官网文章链接
https://bbs.zblogcn.com/thread-83419.html
#工具下载地址
https://update.zblogcn.com/tools/nologin.zip
下载解压后将 nologin.php 文件放到网站根目录下
#网站根目录
D:\phpstudy_pro\WWW
直接访问 nologin.php ,然后点击重置密码即可
账号:admin
密码:12345678
在 用户管理 选项卡下发现 Hacker 用户
点击编辑后,在 用户编辑 页面的摘要中发现 flag
flag{H@Ck@sec}
Ok了
192.168.75.129
192.168.75.130
hack6618$
flag{zgsfsys@sec}
flag{888666abc}
flag{H@Ck@sec}