目录
一、攻击者的两个IP地址
二、隐藏用户名称
三、黑客遗留下的flag【3个】
下载好靶场(前来挑战!应急响应靶机训练-Web3)并搭建好环境,使用帐号密码(administrator / xj@123456)登录靶机。
打开phpStudy目录,查看中间件日志情况,Nginx无日志,Apache有日志。
打开Apache日志随便一翻,就能看到192.168.75.129存在大量响应异常的访问记录,疑似攻击者的IP地址。
使用命令compmgmt.msc
打开计算机管理,在系统工具->事件查看器->Windows日志->安全
下,点击筛选当前日志
,筛选事件ID是4625的登录失败发现,发现192.168.75.130存在登录失败行为,但是登录失败并不连续,不像是爆破更像是输错密码,因此不太好判断是攻击者的IP地址。
使用命令compmgmt.msc
打开计算机管理,在系统工具->本地用户和组->用户
下,发现以$结尾的隐藏用户hack6618$。
第一个flag:
使用命令compmgmt.msc
打开计算机管理,在系统工具->任务计划程序->任务计划程序库
下,看到攻击者创建的计划任务,备注栏有flag:flag{zgsfsys@sec}。
第二个flag:
深入查看攻击者创建的计划任务,会定时执行脚本:C:\Users\hack6618$\Downloads\system.bat。
打开脚本,发现是把webshell写入网站目录下的404报错页面中,并打印flag:flag{888666abc}。
第三个flag:
查看启动项、服务等后门,均无收获。
部署一下网站,看下能否翻到什么。在phpStudy中启动Apache和MySQL以部署网站。
浏览器访问http://127.0.0.1/进入网站,点击“登录后台”。
尝试几个弱口令均失败,此时可询问管理员提供帐号密码,或使用官方的Z-BlogPHP密码找回工具 Z-BlogPHP
(https://bbs.zblogcn.com/thread-83419.html)重置账号密码。
成功登录管理后台,然后每个地方都点一下,有点像渗透而不是应急。
最终在“用户管理”处,编辑Hacker用户,在摘要里面看到flag信息:flag{H@Ck@sec}。
