应急响应靶机 —— Windows 3
靶场链接:
一、靶场信息
1.1 背景
小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。
1.2 挑战
①攻击者的两个IP地址
②隐藏用户名称
③黑客遗留下的flag(3个)
1.3 注意
本虚拟机的考点不在隐藏用户以及ip地址,仔细找找把。
解压后双击.ovf文件,使用Vmware打开,直接导入即可。
1.4 相关账号密码
administrator/xj@123456
1.5 关于解题
直接运行桌面上的"题解.exe"即可。
二 、简单分析
一般检查思路和方法见应急响应靶机 —— Windows 1
①攻击者的两个IP地址
检查web访问日志(Apache、Nginx等)、Windows登录日志;或者查杀webshell后根据webshell文件名去日志中搜索访问过 webshell 的IP。
②隐藏用户名称
检查用户组、注册表等、或者火绒剑、d盾等工具。
③黑客遗留下的flag(3个)
日志、数据库、web应用、遗留的文件等。
三、题解
呃......,有点明显,但流程还是要走的
上传d盾扫一下 phpstudy 目录,发现两个可疑后门文件
d盾克隆检测,拿到隐藏账号 hack6618
检查两个可疑文件,都是一句话木马
检查Apache访问日志,只有 404.php 被访问过,攻击者 IP 192.168.75.129
上传 Windows 日志分析工具检查Windows日志,查看远程桌面登录成功日志,发现 hack6618 登录过,拿到攻击者第二个IP 192.168.75.130
检查计划任务,拿到flag{zgsfsys@sec},发现两个可疑的计划任务都指向同一个文件
检查一下 system.bat 文件,拿到flag{888666abc}
检查完常规的端口、进程、服务、用户文件,未发现其他可疑项,启动web服务检查一下
首页未发现信息,登录后台查看,但不知道密码,去官网查看用户手册,找到重置密码的工具
把工具上传到网站根目录之后,访问重置密码工具,点击重置管理员密码
登录后,在用户管理——用户编辑,Hacker账号摘要中发现 flag{H@Ck@sec}
四、提交 Flag
整理 flag ,提交