应急响应靶机-Web3-Writeup

admin 2024年3月16日20:14:51评论23 views字数 1428阅读4分45秒阅读模式

免责声明

本文发布的工具和脚本,仅用作测试和学习研究,禁止用于商业用途,不能保证其合法性,准确性,完整性和有效性,请根据情况自行判断。

如果任何单位或个人认为该项目的脚本可能涉嫌侵犯其权利,则应及时通知并提供身份证明,所有权证明,我们将在收到认证文件后删除相关内容。

文中所涉及的技术、思路及工具等相关知识仅供安全为目的的学习使用,任何人不得将其应用于非法用途及盈利等目的,间接使用文章中的任何工具、思路及技术,我方对于由此引起的法律后果概不负责。

添加星标不迷路

由于公众号推送规则改变,微信头条公众号信息会被折叠,为了避免错过公众号推送,请大家动动手指设置“星标”,设置之后就可以和从前一样收到推送啦

应急响应靶机-Web3-Writeup

应急响应靶机-Web3-Writeup

下载靶机

从夸克网盘下载靶机

夸克网盘分享了「应急响应靶机练习-Web2」,点击链接即可保存。

链接:https://pan.quark.cn/s/3ca80a85d48b#/list/share

环境说明

前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。

这是他的服务器,请你找出以下内容作为通关条件:

  1. 攻击者的两个IP地址
  2. 隐藏用户名称
  3. 黑客遗留下的flag【3个】

本虚拟机的考点不在隐藏用户以及ip地址,仔细找找把。

启动环境

关于靶机启动

解压后双击.ovf文件,使用Vmware打开,直接导入即可。

相关账户密码:

Windows:administrator/xj@123456

启动后输入密码

应急响应靶机-Web3-Writeup

解题

打开桌面上解题.exe

应急响应靶机-Web3-Writeup

攻击者的两个IP地址

找IP地址,毫无疑问要看日志,Web日志和安全日志这些

先保存下容易丢失的安全日志和系统日志

应急响应靶机-Web3-Writeup

另存到桌面上,在做真实应急时第一件事其实就是取证

应急响应靶机-Web3-Writeup

扫描D盾中有两个webshell文件

应急响应靶机-Web3-Writeup

应急响应靶机-Web3-Writeup

得到IP

192.168.75.129

应急响应靶机-Web3-Writeup

还有一个IP:

192.168.75.130

但不确定是不是,输入进去提示正确,额,我还把

攻击者隐藏用户名称

应急响应靶机-Web3-Writeup

hack6618$

三个攻击者留下的flag

攻击时间是3月11日或者3月12日

看下数据库就知道怎么进来的了

应急响应靶机-Web3-Writeup

翻找攻击时间范围内的创建或修改的文件(即3月12日),发现两个flag

应急响应靶机-Web3-Writeup

应急响应靶机-Web3-Writeup

flag{zgsfsys@sec}

里面还找到一个地址:

C:Usershack6618$Downloads

过去找到第二个flag

应急响应靶机-Web3-Writeup

flag{888666abc}

进一步缩小了事件发生时间范围,上午11:30到12:30之间

又找了几个文件,

C:Usershack6618$AppDataRoamingMozillaFirefoxProfilesprofiles.log		不对
C:Usershack6618$AppDataLocalPackagesMicrosoft.Windows.Cortana_cw5n1h2txyewyLocalStateDeviceSearchCache	不对

应急响应靶机-Web3-Writeup

应急响应靶机-Web3-Writeup

应急响应靶机-Web3-Writeup

感觉可能在.db文件里面
一个小时后:
大乌龙!我最后发现两个flag都是flag{zgsfsys@sec},我已经找齐了,真是超了,拔剑四顾心茫然,感情最后我是在跟自己斗智斗勇,枯了

总结

攻击者的两个IP地址

192.168.75.129
192.168.75.130

攻击者隐藏用户名称

hack6618$

三个攻击者留下的flag

flag{zgsfsys@sec}
flag{zgsfsys@sec}
flag{888666abc}


原文始发于微信公众号(SecHub网络安全社区):应急响应靶机-Web3-Writeup

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2024年3月16日20:14:51
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   应急响应靶机-Web3-Writeuphttps://cn-sec.com/archives/2581147.html

发表评论

匿名网友 填写信息