前言
本次应急响应靶机采用的是知攻善防实验室的Web-3应急响应靶机 靶机下载地址为: https://pan.quark.cn/s/4b6dffd0c51a 相关账户密码 用户:administrator 密码:xj@123456xj@123456
解题过程
第一题-攻击者的两个IP地址
直接查看apache的log日志搜索.php
发现大量的post请求cmd.php(可疑文件)
omg这可疑文件还有点多呀
经过我的火眼金睛最后还是让我找到两个攻击者ip地址了吧
192.168.75.129
192.168.75.130
第二题-攻击者隐藏用户名称
还是在注册表SAM目录直接找
win+r regedit
一步一步找下去就找到了(记得给administrator用户完全控制SAM目录的权限)
隐藏用户名位hack6618
第三题-三个攻击者留下的flag
flag怎么找我的习惯是先去看看隐藏用户的目录下有没有藏东西
让我在下载目录找到个bat处理文件
用记事本打开看看
也是找到了一个flag
flag{888666abc}
根据排查思路
下一步看看有没有自启动项或者计划任务什么的
哎嘿计划任务还真让我找到了flag
flag{zgsfsys@sec}
最后一个flag找来找去找不到,没办法只能从web网站来看看了,吧服务都打开
发现是z-blog 一个博客cms
想登录后台又不知道密码怎么办呢?
直接出动z-blog免密码登录后台工具
Z-BlogPHP密码找回工具-程序发布-ZBlogger技术交流中心 (zblogcn.com)
下载解压后放到根目录就好
接着访问 域名/nologin.php
重置完后也是成功登录了
刚刚重置的时候我就怀疑,怎么有个hack用户
最后在用户编辑这里找到了最后一个flag
flag{H@Ck@sec}
ok圆满结束!!!
