应急响应靶机——easy溯源

载入虚拟机，开启虚拟机：

（账户密码：zgsfsys/zgsfsys）

---

解题程序.exe是额外下载解压得到的：

1. 攻击者内网跳板机IP地址

2. 攻击者服务器地址

3. 存在漏洞的服务(提示:7个字符)

4. 攻击者留下的flag(格式zgsf{})

4. 攻击者邮箱地址

5. 攻击者的ID名称

---

桌面有个“password.txt”:

打开查看内容：

得到一些登录信息

---

先给重置一下root密码，因为题目没有给：

history命令查看历史命令：

发现有个base64编码的println命令，解码一下：

得到攻击者内网跳板机IP地址：192.168.11.129

---

先上传whoamifuck.sh，赋予执行权限：

但用了会发现好像没有后门和其他日期的登录信息，不过后面发现在/root目录下有个chuantou目录，谐音“穿透”，进入chuantou目录发现有frpc文件，一眼内网穿透工具：

查看frpc.toml文件内容：

得到攻击者服务器地址：156.66.33.66

---

./whoamifuck.sh -x查看进程：

发现有bt（宝塔面板），这时候想起来history命令查看命令历史的时候有“log”关键字的出现：

看到攻击者cat了jenkins.log，这个jenkins应该是个服务？

去浏览器中也可以看到搜索历史：

访问127.0.0.1:8080，发现直接可以访问（未授权访问），并且上面还有flag

得到存在漏洞的服务(提示:7个字符)：jenkins

得到flag：zgsf{gongzhonghaozhigongshanfangshiyanshi}

---

查看了一会宝塔面板的一些内容，没发现是可疑的信息，桌面上的password.txt文件的内容也只是对应面板用户的账户密码：

---

第四、五题需要通过Github溯源，但是出了点意外：