应急响应靶场——web3 ——知攻善防实验室

前景需要:

小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。这是他的服务器,请你找出以下内容作为通关条件:

  1. 攻击者的两个IP地址

  2. 隐藏用户名称

  3. 黑客遗留下的flag【3个】

虚拟机登录:

账号:Administrator

密码:xj@123456

1.攻击者的两个IP地址

D盾扫一下,发现已知后门

查到后门含有 404.php 查找日志(此ip是攻击者通过上传木马 与自己的ip进行连接)

在该目录下查看日志发现ip1为192.168.75.129

接下来查找另外一个远程连接暴露的ip,存在远程连接,查找ip

通过查看应用程序和服务日志来查询

筛选当前日志--1149代表远程连接成功

192.168.75.130

2.攻击者隐藏用户名称

hack6618$

3.三个攻击者留下的flag

第一个flag在任务计划程序里面

flag{zgsfsys@sec}

第二个flag在hack6618$用户的下载目录下

C:\Users\hack6618$\Downloads

打开 system.bat 文件后发现是执行 写入一句话木马 的操作,还打印了一个flag

flag{888666abc}

第三个flag

发现是z-blog

在 Z-Blog 官网找到密码找回工具(免密登录)

#官网文章链接

https://bbs.zblogcn.com/thread-83419.html

#工具下载地址

https://update.zblogcn.com/tools/nologin.zip

下载解压后将 nologin.php 文件放到网站根目录下

#网站根目录

D:\phpstudy_pro\WWW

直接访问 nologin.php ,然后点击重置密码即可

账号:admin

密码:12345678

在 用户管理 选项卡下发现 Hacker 用户

点击编辑后,在 用户编辑 页面的摘要中发现 flag

flag{H@Ck@sec}

Ok了

192.168.75.129

192.168.75.130

hack6618$

flag{zgsfsys@sec}

flag{888666abc}

flag{H@Ck@sec}

相关推荐
未完结的牵挂1 个月前
第二届帕鲁杯 solar_Linux后门排查 WP
网络安全·ctf·应急响应
csKQL2 个月前
第一章 应急响应-webshell查杀
网络安全·应急响应·玄机
RLG_星辰2 个月前
第六章-哥斯拉4.0流量分析与CVE-2017-12615的复现
笔记·安全·网络安全·tomcat·应急响应·玄机
RLG_星辰2 个月前
第二章 日志分析-apache日志分析(玄机系列)
笔记·网络安全·apache·应急响应·玄机
RLG_星辰3 个月前
第二章日志分析-mysql应急响应笔记
运维·数据库·mysql·应急响应·玄机
ccc_9wy3 个月前
玄机-第四章 windows实战-emlog的测试报告
网络安全·日志分析·应急响应·玄机靶场·windows实战-emlog·py反编译·挖矿分析
落寞的魚丶4 个月前
2024-2025 学年广东省职业院校技能大赛 “信息安全管理与评估”赛项 技能测试试卷(四)
高职组·应急响应·2025广东省赛·2024-2025职业技能大赛·信息安全评估管理赛项
廾匸07054 个月前
《95015网络安全应急响应分析报告(2024)》
网络安全·行业报告·应急响应