记一次省护值守服务器被黑的应急响应过程
小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。
这是他的服务器,请你找出以下内容作为通关条件:
1.攻击者的两个IP地址
2.隐藏用户名称
3.黑客遗留下的flag【3个】
本虚拟机的考点不在隐藏用户以及ip地址,仔细找找把。
靶场获取地址:
下载地址
https://pan.quark.cn/s/4b6dffd0c51a
解压后双击.ovf文件,使用Vmware打开,直接导入即可。
相关账户密码:
Windows:administrator/xj@123456
直接启动即可。
蓝队工具箱获取地址:
Github地址:
https://github.com/ChinaRan0/BlueTeamTools
蓝队工具箱v2024.7
https://pan.quark.cn/s/6d7856efd1d1
1.攻击者的两个IP地址
攻击者ip1:192.168.75.130
查询访问次数最多的 ip 地址
cat access.log.1710201600 | grep 404.php | cut -d ' ' -f 1 | sort | uniq -c | sort -nr
攻击者ip2:192.168.75.129
2.隐藏用户名称
隐藏用户:hack6618$
3.黑客遗留下的flag【3个】
如果只是为了寻找flag可以直接使用全文搜索工具 FileLocator Pro Version 2022 - Build 3435(V9.2.3435.1) 单文件版
flag{888666abc}
flag{H@Ck@sec}
flag{zgsfsys@sec}
重置隐藏用户hack6618$的密码
net user hack6618$ 11qq@Mannix
使用火麒麟收集信息
在计划任务里找到可疑计划任务
打开网站,发现是Z-blog
我们现在想要登录后台,可是并没有给我们后台密码,这时候,我们尝试百度-Z-blog忘记密码
找到相关文章,下载nologin.php进行登录
https://bbs.zblogcn.com/thread-83419.html
https://update.zblogcn.com/tools/nologin.zip
原文始发于微信公众号(利刃信安):【应急响应】记一次省护值守服务器被黑的应急响应过程
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论