webserver
- 提交攻击者使用的攻击IP地址
攻击者的ip存在日志立马,我们去cat /var/log里面打开对应文件进行查看
发现一个192.168.31.240上传一个shell.php和a.php攻击者就算这个ip了
打开a.php大学是一句话木马11
- 攻击者进行暴力破解开始时间
看看日志以及root日志都没什么有用内容,去docker内部看看
查看phpmyadmin的日志
**docker logs 6801,**最早时间为:2025:03:05:58
6. 提交攻击者留下的flag3
这一个到处找找,因为之前上传文件到html里面了,我们去看看这些文件有什么,发现index.php里面存在数据库和密码,然后登录数据库看看内容,与订单有关的数据库是ecommerce_order_system,base64解密发现flag
8.提交攻击者留下的webshell-1 密码
cat /var/log/nginx/access.log.1,不是a.php,测试一下,shell.php发现是hack
9. 提交攻击者开放端口
之前存在两个攻击ip 192.168.31.240 和 192.168.31.11,通过简历.exe(192.168.31.11)得到一个端口:8084,再去看看websrver的,
Netstat -ano或者ss -anupt,发现端口:1133对应的进程为:clean.sh
容器主动向外连攻击者机器 192.168.31.11 的 1133 端口 ,是反向连接(反弹 shell) ,对应题目里攻击者 IP2:192.168.31.11
- 提交攻击者留下的webshell-2密码:
就在webserver 的docker:/var/www/html的a.php中。(在日志中有记载他有上传)
PC1 win7
2. 提交攻击者使用的攻击IP地址2
查看其他系统发现一个简历,丢到沙箱里面分析一下,发现是个恶意程序192.168.31.11攻击的
7. 提交钓鱼文件的哈希32位大写
应该就是这个简历.exe,看看md5:2977cdab8f3ee5efddae61ad9f6cf203
12. 溯源邮箱:逆向简历.exe ,找到用户名n0k4u,电脑上没有发现其它有个这个的信息,上github上搜,发现用户存在,并且他提供了一个项目,里面给出了一个密语是QQ号(13题答案)。我们继续按照github的接口拿到他的邮箱:https://api.github.com/users/n0k4u/,邮箱:n0k4u <n0k4u@outlook.com>
有两种方法:https:// api .github.com/users/<name>/events/public
或者点击commits选择其中一个提交记录,在跳转的URL后加上.patch
13. QQ 号加好友时会发现它的签名(应该是)就有flag,方法见上题信息。Palu
加好友问题直接给了flag
Pc2
4.提交攻击者留下的flag1
taskschd.msc
方法 1:用运行命令(最快)
- 按下键盘上的 Win + R
- 在弹出的框里输入:
plaintext
taskschd.msc
- 按回车,直接打开「任务计划程序」
方法 2:从控制面板打开
- 打开「控制面板」→「系统和安全」→「管理工具」
- 找到并双击「任务计划程序」
5.提交攻击者留下的flag2
- 隐藏账户的密码:
Wmic useraccount get name,SID查看所有用户取证,哈希提取工具
或者1. 打开「计算机管理」
- 按下 Win + R,输入 compmgmt.msc 回车,直接打开。
- 左侧导航栏里,依次展开:
系统工具 → 本地用户和组 → 用户
- 查看用户列表
你会看到所有本地用户,包括:
- Administrator(管理员)
- Guest(来宾)
- zjl(题目里给的用户)
- 还有这个 system$
500:内置administrator账户
501:Guest账户
502-504:特殊系统账户
用户创建账户:从1000开始递增分配
重点:
用户名结尾带 $ 的用户,是 Windows 里的隐藏用户,普通登录界面不会显示,但在「计算机管理」里能看到,这就是攻击者留的后门账号。
用msf的方式。启动一个192.168.87.x 网段的kali,利用msfvenom生成一个windows木马上传到windows中,令其上线
直接读取其NTLM值,进行解密:dbae99beb48fd9132e1cf77f4c746979 得到wmx_love
