免责声明
本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。
如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。
文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。
添加星标不迷路
由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦
下载靶机
从夸克网盘下载靶机
夸克网盘分享了「应急响应靶机练习-Web2」,点击链接即可保存。
链接:https://pan.quark.cn/s/3ca80a85d48b#/list/share
环境说明
前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。
这是他的服务器,请你找出以下内容作为通关条件:
- 攻击者的两个IP地址
- 隐藏用户名称
- 黑客遗留下的flag【3个】
本虚拟机的考点不在隐藏用户以及ip地址,仔细找找把。
启动环境
关于靶机启动
解压后双击.ovf文件,使用Vmware打开,直接导入即可。
相关账户密码:
Windows:administrator/xj@123456
启动后输入密码
解题
打开桌面上解题.exe
攻击者的两个IP地址
找IP地址,毫无疑问要看日志,Web日志和安全日志这些
先保存下容易丢失的安全日志和系统日志
另存到桌面上,在做真实应急时第一件事其实就是取证
扫描D盾中有两个webshell文件
得到IP
192.168.75.129
还有一个IP:
192.168.75.130但不确定是不是,输入进去提示正确,额,我还把
攻击者隐藏用户名称
hack6618$三个攻击者留下的flag
攻击时间是3月11日或者3月12日
看下数据库就知道怎么进来的了
翻找攻击时间范围内的创建或修改的文件(即3月12日),发现两个flag
flag{zgsfsys@sec}里面还找到一个地址:
C:Usershack6618$Downloads过去找到第二个flag
flag{888666abc}进一步缩小了事件发生时间范围,上午11:30到12:30之间
又找了几个文件,
C:Usershack6618$AppDataRoamingMozillaFirefoxProfilesprofiles.log 不对C:Usershack6618$AppDataLocalPackagesMicrosoft.Windows.Cortana_cw5n1h2txyewyLocalStateDeviceSearchCache 不对
感觉可能在.db文件里面
一个小时后:
大乌龙!我最后发现两个flag都是flag{zgsfsys@sec},我已经找齐了,真是超了,拔剑四顾心茫然,感情最后我是在跟自己斗智斗勇,枯了
总结
攻击者的两个IP地址
192.168.75.129192.168.75.130
攻击者隐藏用户名称
hack6618$三个攻击者留下的flag
flag{zgsfsys@sec}flag{zgsfsys@sec}flag{888666abc}
原文始发于微信公众号(SecHub网络安全社区):应急响应靶机-Web3-Writeup
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论