一、靶机介绍
应急响应靶机训练-Web3
前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。
这是他的服务器,请你找出以下内容作为通关条件:
- 攻击者的两个IP地址
- 隐藏用户名称
- 黑客遗留下的flag【3个】
本虚拟机的考点不在隐藏用户以及ip地址,仔细找找把。
相关账户密码:
Windows:administrator/xj@123456
二、解题过程
打开靶机,发现靶机安装了PHP study,打开PHP study,找到web的物理路径,打开
直接使用D盾扫描,进行发现已知后门:404.php和post-safe.php
查看D盾的克隆账号检测工具栏,发现隐藏账号hack6618$,这个应该是攻击者创建的隐藏账号
需要寻找攻击者的ip地址,我们可以分析web网站的日志获得
打开日志文件,直接Ctrl+F搜索404.php,找到攻击者的IP地址192.168.75.129
接下来我们分析windows的系统日志,使用APT-Hunter工具的powershell日志收集器自动收集日志信息,将得到的日志解压
使用APT-Hunter.exe工具分析导出来的结果
APT-Hunter.exe -p C:\Users\Administrator\Desktop\logs\wineventlog -o Project1 -allreport-p:提供包含使用powershell日志收集器提取的日志的解压路径
-o:输出生成项目的名称
打开Project1_Report.xlsx,查看Security Events sheet发现创建隐藏用户hack6618$的日志
查看TerminalServices Events sheet发现192.168.75.130登录了hack6618$账号,即可以判断192.168.75.130为攻击者的第二个ip
接下来需要寻找三个flag,我看可以先检查异常端口、进程,看看是否存在异常的端口和进程
使用火绒剑工具进行分析
发现存在两个异常的计划任务
用 Win+R 调出运行命令,然后输入 taskschd.msc 回车,打开任务计划程序
在计划任务描述里面发现第一个flag:flag{zgsfsys@sec}
打开计划任务执行的文件,发现第二个flag:flag{888666abc}
检查其他启动项、计划任务和服务未发现有什么问题
接下来我们检查web网站,在PHP study开启aoache和mysql
使用浏览器访问网站,发现网站为z-blogphp
找到后台登录页面,但没有密码无法登录
使用Z-BlogPHP忘记登录密码重置找回工具进行重置密码:zblogphp/utils/nologin.php at master · zblogcn/zblogphp · GitHub
下载解压得到nologin.php文件后,传到网站的根目录,在浏览器中打开:http://localhost/nologin.php
重置Hacker的密码,登录
在用户管理摘要处找到第三个flag:flag{H@Ck@sec}
将答案整理提交
