Windows应急响应靶机 - Web3

一、靶机介绍

应急响应靶机训练-Web3

前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。

这是他的服务器,请你找出以下内容作为通关条件:

  1. 攻击者的两个IP地址
  2. 隐藏用户名称
  3. 黑客遗留下的flag【3个】

本虚拟机的考点不在隐藏用户以及ip地址,仔细找找把。

相关账户密码

Windows:administrator/xj@123456

二、解题过程

打开靶机,发现靶机安装了PHP study,打开PHP study,找到web的物理路径,打开

在这里插入图片描述

直接使用D盾扫描,进行发现已知后门:404.php和post-safe.php

在这里插入图片描述

在这里插入图片描述
在这里插入图片描述

查看D盾的克隆账号检测工具栏,发现隐藏账号hack6618$,这个应该是攻击者创建的隐藏账号

在这里插入图片描述

需要寻找攻击者的ip地址,我们可以分析web网站的日志获得

在这里插入图片描述

打开日志文件,直接Ctrl+F搜索404.php,找到攻击者的IP地址192.168.75.129

在这里插入图片描述

接下来我们分析windows的系统日志,使用APT-Hunter工具的powershell日志收集器自动收集日志信息,将得到的日志解压

在这里插入图片描述
在这里插入图片描述

使用APT-Hunter.exe工具分析导出来的结果

APT-Hunter.exe -p C:\Users\Administrator\Desktop\logs\wineventlog -o Project1 -allreport-p:提供包含使用powershell日志收集器提取的日志的解压路径
-o:输出生成项目的名称

在这里插入图片描述

在这里插入图片描述

打开Project1_Report.xlsx,查看Security Events sheet发现创建隐藏用户hack6618$的日志

在这里插入图片描述

查看TerminalServices Events sheet发现192.168.75.130登录了hack6618$账号,即可以判断192.168.75.130为攻击者的第二个ip

在这里插入图片描述

接下来需要寻找三个flag,我看可以先检查异常端口、进程,看看是否存在异常的端口和进程

在这里插入图片描述

使用火绒剑工具进行分析

在这里插入图片描述

发现存在两个异常的计划任务

在这里插入图片描述

用 Win+R 调出运行命令,然后输入 taskschd.msc 回车,打开任务计划程序

在计划任务描述里面发现第一个flag:flag{zgsfsys@sec}

在这里插入图片描述

打开计划任务执行的文件,发现第二个flag:flag{888666abc}

在这里插入图片描述

检查其他启动项、计划任务和服务未发现有什么问题

接下来我们检查web网站,在PHP study开启aoache和mysql

在这里插入图片描述

使用浏览器访问网站,发现网站为z-blogphp

在这里插入图片描述

找到后台登录页面,但没有密码无法登录

在这里插入图片描述

使用Z-BlogPHP忘记登录密码重置找回工具进行重置密码:zblogphp/utils/nologin.php at master · zblogcn/zblogphp · GitHub

下载解压得到nologin.php文件后,传到网站的根目录,在浏览器中打开:http://localhost/nologin.php

在这里插入图片描述

重置Hacker的密码,登录

在这里插入图片描述

在用户管理摘要处找到第三个flag:flag{H@Ck@sec}

在这里插入图片描述

将答案整理提交

在这里插入图片描述

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.mzph.cn/diannao/36223.shtml

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈email:809451989@qq.com,一经查实,立即删除!

相关文章

YouCompleteMe插件安装方法简述

一、前言 YouCompleteMe是VIM中进行C/C 开发的重要工具,可以极大提升linux下C/C开发效率。 YCM需要高版本的gcc (8.0以上版本,支持C17) 和 vim(8.0以上,支持python3.6以上) 二、编译gcc_8.3 1. 获取源码 wget https:…

Shopee API接口——获取商家店铺商品列表

一、引言 在跨境电商领域,Shopee作为东南亚地区领先的电商平台,为众多商家提供了广阔的市场和丰富的销售机会。本文将详细介绍如何通过Shopee API获取商家店铺商品列表,并探讨其应用场景。 二、核心功能介绍 Shopee API获取商家店铺商品列…

Studying-代码随想录训练营day21| 669.修建二叉搜索树、108.将有序数组转换为二叉搜索树、538.把二叉搜索树转换为累加树、二叉树总结

第21天,二叉树最后一篇,冲💪 目录 669.修建二叉搜索树 108.将有序数组转换为二叉搜索树 538.把二叉搜索树转换为累加树 二叉树总结 669.修建二叉搜索树 文档讲解:代码随想录修建二叉搜索树 视频讲解:手撕修建二叉…

API-元素尺寸与位置

学习目标: 掌握元素尺寸与位置 学习内容: 元素尺寸与位置仿京东固定导航栏案例实现bilibili点击小滑块移动效果 元素尺寸与位置: 使用场景: 前面案例滚动多少距离,都是我们自己算的,最好是页面滚动到某个…

[leetcode]圆圈中最后剩下的数字/ 破冰游戏

. - 力扣(LeetCode) class Solution {int f(int num, int target) {if (num 1) {return 0;}int x f(num - 1, target);return (target x) % num;} public:int iceBreakingGame(int num, int target) {return f(num, target);} };

程序猿大战Python——Python与MySQL交互一

pymysql模块的安装 目标:了解如何安装pymysql模块? 当要使用Python和MySQL数据库进行交互,需要借助一个第三方模块:pymysql。 在使用pymysql模块前,先进行安装: pip install pymysql 有时使用pip instal…

从零开始做题:有手就行

1 题目 2 解题 ARPHCR工具破解 得到flag DASCTF{2b3767763885a019b65bbfe9d1136c3b}

数据结构与算法笔记:高级篇 - 向量空间:如何实现一个简单的音乐推荐系统?

概述 很多人喜都喜爱听歌,以前我们用 MP3 听歌,现在直接通过音乐 App 在线就能听歌。而且,各种音乐 App 的功能越来越强大,不仅可以自己选歌听,还可以根据你听歌的喜好,给你推荐你可能会喜好的音乐&#x…

【WEB前端2024】3D智体编程:乔布斯3D纪念馆-第49课-机器人自动跳舞

【WEB前端2024】3D智体编程:乔布斯3D纪念馆-第49课-机器人自动跳舞 使用dtns.network德塔世界(开源的智体世界引擎),策划和设计《乔布斯超大型的开源3D纪念馆》的系列教程。dtns.network是一款主要由JavaScript编写的智体世界引擎…

DevExpress Office File API教程 - 如何使用AI服务增强Word文档可访问性和语言支持?

DevExpress Office File API是一个专为C#, VB.NET 和 ASP.NET等开发人员提供的非可视化.NET库。有了这个库,不用安装Microsoft Office,就可以完全自动处理Excel、Word等文档。开发人员使用一个非常易于操作的API就可以生成XLS, XLSx, DOC, DOCx, RTF, CS…

使用隐式事件执行控制图

什么是隐式事件? 隐式事件是图表执行时发生的内置事件: 图表唤醒 进入一个状态 退出状态 分配给内部数据对象的值 这些事件是隐式的,因为您没有显式地定义或触发它们。隐式事件是它们发生的图表的子级,仅在父图表中可见。 隐式事…

Embedding的概念和展开

前言 本章,我们介绍一个非常细的细节技术。让我们微调大模型的一些特性和能力。 在大模型的AI套路演化过程中,其实经历了太多的技术革新和方式变化,Embedding其实也可能是其中一个高速湮灭的技术点之一。 对比LoRA现在大红大紫&#xff0c…

每个 Node.js 开发人员都应该知道的13个库(下)

7. Sequelize Mongoose是一个Node。基于js的MongoDB对象建模工具,通常被称为对象数据建模(ODM)库,它提供了诸如钩子、模型验证、连接和查询等功能。 Mongoose为应用程序数据提供了一个基于模式的解决方案,它在应用程…

论文翻译 | ITER-RETGEN:利用迭代检索生成协同增强检索增强的大型语言模型

论文地址:Enhancing Retrieval-Augmented Large Language Models with Iterative Retrieval-Generation Synergy 摘要 检索增强生成由于有望解决包括过时知识和幻觉在内的大型语言模型的局限性而引起广泛关注。然而,检索器很难捕捉相关性,尤…

BurpSuite2024.5.3专业版,仅支持Java21以上

01更新介绍 此版本引入了对 WebSocket 的 Burp Scanner 支持、对录制的登录编辑器的改进、WebSocket 匹配和替换规则以及许多性能改进。我们还删除了一些冗余的扫描检查。 Burp Scanner 对 WebSockets 的支持我们更新了内部代理的配置,以允许 WebSocket 流量。这使…

将产品制作成3D模型在网站上展示需要多少费用?

将产品制作成3D模型并在网站上展示的费用会因多种因素而异,包括模型的复杂度、所需的细节程度、制作3D模型的软件和工具、以及是否需要专业设计师的服务等。此外,不同的3D模型制作服务提供商可能会有不同的定价标准。 如果能自己制作3D模型,…

友力科技IDC机房搬迁方案流程分享

机房搬迁流程 系统搬迁实施流程包括:准备、拆卸、装运、安装、调试等五个流程,具体如下: 准备:包括相关人员和设备准备、新机房环境准备、网络环境、备份、现场所有设备打标签、模块、设备准备等准备工作。拆卸:主要只核心设备下…

iptables(2)安装及规则查询

安装iptables 我是用的系统是debian 12,目前没有安装iptables。 防火墙已经安装完成了 iptables 的配置语法 iptables (选项) (参数) # 通用匹配:源地址目标地址的匹配 -p:指定要匹配的数据包协议类型 -s, --source [!] address[/mask] :把指定的一个/一组地址作为源地…

防坑知识:如果要查自己的大数据信用报告,这几种平台一定不要选!

很多小伙伴在候遇到申贷碰壁,特别是被告知原因是大数据不良之后,都急着去了解自己的大数据信用情况,常见的方式就是在百度搜索大数据信用,大数据报告查询,哪里能查大数据信用等关键词,随便找一个地方就去查…

好消息!终于解决了!Coze工作流错误中断问题终于得到解决!

文章目录 📖 介绍 📖🏡 演示环境 🏡📒 解决方案 📒📝 常见的工作流中断问题📝 好消息来了!⚓️ 相关链接 ⚓️📖 介绍 📖 大家是否曾经遇到过这样的问题:在Coze平台辛辛苦苦设计的一个工作流,尤其是流程非常复杂和长的情况下,只要中间一个环节出错,整…