长亭百川云 - 文章详情

应急靶场(4):Windows Server 2019 - Web3

罗锦海

119

2024-07-15

目录

一、攻击者的两个IP地址

二、隐藏用户名称

三、黑客遗留下的flag【3个】

下载好靶场(前来挑战!应急响应靶机训练-Web3)并搭建好环境,使用帐号密码(administrator / xj@123456)登录靶机。

一、攻击者的两个IP地址

打开phpStudy目录,查看中间件日志情况,Nginx无日志,Apache有日志。

打开Apache日志随便一翻,就能看到192.168.75.129存在大量响应异常的访问记录,疑似攻击者的IP地址。

使用命令compmgmt.msc
打开计算机管理,在系统工具->事件查看器->Windows日志->安全
下,点击筛选当前日志
,筛选事件ID是4625的登录失败发现,发现192.168.75.130存在登录失败行为,但是登录失败并不连续,不像是爆破更像是输错密码,因此不太好判断是攻击者的IP地址。

二、隐藏用户名称

使用命令compmgmt.msc
打开计算机管理,在系统工具->本地用户和组->用户
下,发现以$结尾的隐藏用户hack6618$。

三、黑客遗留下的flag【3个】

第一个flag:

使用命令compmgmt.msc
打开计算机管理,在系统工具->任务计划程序->任务计划程序库
下,看到攻击者创建的计划任务,备注栏有flag:flag{zgsfsys@sec}。

第二个flag:

深入查看攻击者创建的计划任务,会定时执行脚本:C:\Users\hack6618$\Downloads\system.bat。

打开脚本,发现是把webshell写入网站目录下的404报错页面中,并打印flag:flag{888666abc}。

第三个flag:

查看启动项、服务等后门,均无收获。

部署一下网站,看下能否翻到什么。在phpStudy中启动Apache和MySQL以部署网站。

浏览器访问http://127.0.0.1/进入网站,点击“登录后台”。

尝试几个弱口令均失败,此时可询问管理员提供帐号密码,或使用官方的Z-BlogPHP密码找回工具 Z-BlogPHP
https://bbs.zblogcn.com/thread-83419.html)重置账号密码。

成功登录管理后台,然后每个地方都点一下,有点像渗透而不是应急。

最终在“用户管理”处,编辑Hacker用户,在摘要里面看到flag信息:flag{H@Ck@sec}。

相关推荐
关注或联系我们
添加百川云公众号,移动管理云安全产品
咨询热线:
4000-327-707
百川公众号
百川公众号
百川云客服
百川云客服

Copyright ©2024 北京长亭科技有限公司
icon
京ICP备 2024055124号-2