应急响应靶场——web3 ——知攻善防实验室

前景需要：

小苕在省护值守中，在灵机一动情况下把设备停掉了，甲方问：为什么要停设备？小苕说：我第六感告诉我，这机器可能被黑了。这是他的服务器，请你找出以下内容作为通关条件：

1. 攻击者的两个IP地址

2. 隐藏用户名称

3. 黑客遗留下的flag【3个】

虚拟机登录：

账号：Administrator

密码：xj@123456

1.攻击者的两个IP地址

D盾扫一下，发现已知后门

查到后门含有 404.php 查找日志（此ip是攻击者通过上传木马 与自己的ip进行连接）

在该目录下查看日志发现ip1为192.168.75.129

接下来查找另外一个远程连接暴露的ip，存在远程连接，查找ip

通过查看应用程序和服务日志来查询

筛选当前日志--1149代表远程连接成功

192.168.75.130

2.攻击者隐藏用户名称

hack6618$

3.三个攻击者留下的flag

第一个flag在任务计划程序里面

flag{zgsfsys@sec}

第二个flag在hack6618$用户的下载目录下

C:\Users\hack6618$\Downloads

打开 system.bat 文件后发现是执行 写入一句话木马 的操作，还打印了一个flag

flag{888666abc}

第三个flag

发现是z-blog

在 Z-Blog 官网找到密码找回工具（免密登录）

#官网文章链接

https://bbs.zblogcn.com/thread-83419.html

#工具下载地址

https://update.zblogcn.com/tools/nologin.zip

下载解压后将 nologin.php 文件放到网站根目录下

#网站根目录

D:\phpstudy_pro\WWW

直接访问 nologin.php ，然后点击重置密码即可

账号：admin

密码：12345678

在 用户管理 选项卡下发现 Hacker 用户

点击编辑后，在 用户编辑 页面的摘要中发现 flag

flag{H@Ck@sec}

Ok了

192.168.75.129

192.168.75.130

hack6618$

flag{zgsfsys@sec}

flag{888666abc}

flag{H@Ck@sec}