【实景挑战 | 应急】应急靶机01: Where-1S-tHe-Hacker

免责声明

文章所涉及内容，仅供安全研究与教学之用，由于传播、利用本文所提供的信息而造成的任何直接或者间接的后果及损失，均由使用者本人负责，作者不为此承担任何责任。

场景描述

韩一是划水通信公司的一名安服，某天在日常巡检的过程中发现客户网站被入侵并挂了黑页，他意识到自己需要应急哥的帮助，于是他毫不犹豫地给你打电话。

请你找出攻击痕迹并还原攻击链。服务器已经处于网络隔离状态，排查出并清理攻击者留存的恶意文件，将web服务恢复正常，保证服务器不存在安全问题，在做应急处置、溯源的过程中请给发现存在的脆弱点加固建议。

获取靶机

请在公众号回复【应急靶机01】获取网页端免登录不限速下载链接

（有彩蛋，记得收集起来哦）

环境搭建

压缩包解压后运行.vmx文件文件，同意获取所有权

建议先拍摄个快照再开启虚拟机，玩崩了可以恢复:P

靶机用户和密码
用户：admin
密码：Aa123456

WEB启动需进入靶机桌面后运行phpstudy开启相关服务即可。

挑战答题

运行桌面答题程序即可进入挑战系统

过几天会发布完整解题思路，敬请关注。

#环境编号：应急靶机01
#环境名称：Where-1S-tHe-Hacker
1.攻击者在黑页上留下的疑似黑客ID是？（末尾不带空格）
2.攻击者在什么时间修改了网站主页？（右键文件属性复制粘贴）
3.攻击者写入的第一个webshell文件名是？
4.攻击者写入的第二个webshell文件名是？
5.第二个webshell的连接密码是？
6.攻击者新建的隐藏账户是？
7.日志分析，隐藏账户创建时间是？（答案格式：2024/12/3 9:16:23）
8.添加隐藏账户进管理员组的时间是？（答案格式同上题）
9.攻击者在什么时间从文件中读取保留的密钥？（答案格式同上题）
10.隐藏账户通过(PTH)哈希传递攻击登录的时间是？
11.攻击者上传的两个CobaltStrike木马文件名是？（答案格式："A.exe和B.exe"）

END