很明显，此题要做的事情就是，登入目标靶机，找到日志，分析日志，从中拿到信息。

PS：玄机的在线靶机不是前 5 分钟免费，5 分钟后开始扣金币吗？

上次有个小伙伴教我的，免费启动靶机，把日志文件复制下来，然后关闭靶机，flag 找到之后在打开靶机去提交，如果中途需要什么信息，可以在开五分钟的。

我觉得这个想法不错，哈哈哈~~~

有点内容，但不多，貌似，并没有什么有价值的信息。什么情况？

赶紧，nginx 日志....

我 **** **** ***** （此处省略一万字）

首次薅羊毛失败....

算了，一向情绪稳定的我，这点小事，不碍事，继续...

emmm

先找攻击成功的时间吧，毕竟 flag 要按照顺序提交的。

往下翻滚的过程中，可以看到，攻击者在进行大量的 fuzz 目录。

这也就以为这对方登录成功。

所以，根据这条日志，可以确定：

flag1：攻击成功时间

    flag{2023:04:29 22:45:23}

flag2：攻击者浏览器版本

    flag{Firefox/110.0}

结合开始的日志信息：

flag3：目录扫描工具名（不需要版本号）

    flag{Fuzz Faster U Fool}

用过 wordpress 的应该比较清楚，wordpress 的自定义主题修改模块存在非常多的漏洞。如：命令执行、代码注入、文件上传等

在自定义主题模块，尝试 theme-editor 主题编辑器，修改了一个 post.php 的文件，然后在后面，又调用 x.php 文件执行了 cmd 命令。

所以： post.php 和 x.php 这两个文件，应该是接下来的重点。

而 x.php 的参数为 cmd，也就是说，flag4 中需要的后门文件，应该就是它，上服务器，找到完整路径即可。

它是在 url 中用 get 请求访问的，所以直接在 web 的目录下找就行了。

才发现，人家是 .x.php 呀，前面还有个 "点" 呢？怪我眼瞎咯...

flag4：恶意后门文件完整名称

    flag{C:phpstudy_proWWW.x.php}

至于 flag5，隐藏在 web 正常应用中的 恶意代码，嚯，这小子刚才在那儿调用 theme-editor 主题编辑器修改 post.php， 想都不用想，肯定在干坏事。

    C:phpstudy_proWWWusrthemesdefaultpost.php

总算是上了一丢丢小难度，没办法直接在日志里面找了。

靶场时间还快到了，最后一个 flag 了，害，续费 5 金币吧。

靠，多点了一下，续了两次.... rlgl .. 今儿个不适合做题，羊毛没薅到，反而搭出去五毛...

算了，继续，emmm，先看一眼自启动文件夹

只有一个 C 盘，自启文件能放哪儿去，也没几个目录，点开 Windows，按修改时间排序。

这不，惊喜就来了嘛。

一个诡异的 360.exe，一个熟悉的 x.bat

但目前还没有证据而已。

flag6：自启脚本的名字（这个又不要完整路径了...）

flag:{C:Windowsx.bat}

    flag:{x.bat}

果然，蒙对了...

算了，花了钱的.. 接着找找 x.bat 自启动的原理吧。

如果您有什么建议或指正，请私信我。