知攻善防应急响应靶场练习-web3

题目描述

前景需要：小苕在省护值守中，在灵机一动情况下把设备停掉了，甲方问：为什么要停设备？小苕说：我第六感告诉我，这机器可能被黑了。
这是他的服务器，请你找出以下内容作为通关条件：
1.攻击者的两个IP地址
2.隐藏用户名称
3.黑客遗留下的flag【3个】

用户：administrator
密码：xj@123456

解题步骤

1.攻击者的两个IP地址

根据前两篇的出题习惯，我们同样去查看日志，先看apache的，这里有两个日志文件

实际上拖出来后发现第二个才有数据，所以只需要查看它就行了

那么来统计一下ip出现的频率

awk '{print $1}' access.log | sort | uniq -c | sort

猜测这两个是攻击ip，浏览日志也可以发现确实是，如下图，注入参数

2.隐藏用户名称

这个还是很好找的，服务器管理器-工具-计算机管理-本地用户和组

flag1

去隐藏账户下面的文件目录里面翻翻有没有什么文件，都打开看一遍

“下载”里面有一个system.bat，改成TXT文本查看，发现第一个flag和木马及上传位置

flag2

隐藏在任务计划程序中，与隐藏账户的system.bat文件相关联

flag3

这个看了解析后才得知，需要开启apache和mysql服务，查看web页面

然后登录后台，需要账号密码，我提前将重置密码的PHP文件放到了www发布目录下，

文件下载链接：Z-BlogPHP密码找回工具-程序发布-ZBlogger技术交流中心

发现有两个账户，hacker黑客账户登录看看

用户编辑处找到第三个flag

答案

题目	答案
1.攻击者的两个IP地址	192.168.75.129 192.168.75.130
2.隐藏用户名称	hack6618
flag1	flag{888666abc}
flag2	flag{zgsfsys@sec}
flag3	flag{H@Ck@sec}

感谢知攻善防实验室的公开靶机，本篇仅作为学习笔记分享