应急响应靶机训练 - Web3
应急响应靶机训练 - Web3
小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。请你找出以下内容作为通关条件:
- 攻击者的两个 IP 地址;
- 隐藏用户名称;hack6618$
- 黑客遗留下的 3 个 flag;
本虚拟机的考点不在隐藏用户以及 IP 地址,相关账户密码:administrator/xj@123456
1 日志分析
由于服务器之前关过,这里需要先启动 Web 服务,使用浏览器访问 Web 页面:
根据页面提示这是个 Z-Blog 建站,看页面正常,直接去看日志文件,使用 Notepad++ 打开(D:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1710201600):
根据日志内容发现,攻击者 192.168.75 在 2025.03.12 11:06:58 访问站点,之后访问了 /zb_system/login.php 页面。在网页中打开,发现是后台登录页面:
接着往下看,发现频繁出现 /zb_system/cmd.php?act=verify 的访问记录,猜测是爆破,可以验证一下:
猜测没错,所以攻击者 192.168.75.129 在 2025.03.12 11:10:05 开始爆破站点。
根据日志查看,在 2025.03.12 11:14:43 成功爆破:
在 2025.03.12 11:15:28 登录到网站后台:
在 2025.03.12 11:21:31 上传了 404.php 文件:
在 2025.03.12 11:22:50 访问了 404.php 文件:
在 2025.03.12 11:53:30 另一个攻击者 192.168.75.130 访问了站点:
在 2025.03.12 11:53:43 登录站点后台:
使用 D 盾扫描站点:
查看 WebShell 文件内容,很经典的一句话木马:
由于被爆破成功,前往 MySQL 数据库中查看是否存在弱口令:
经查询,可能是攻击者使用 admin 用户登录到后台之后,创建了一个 Hacker 用户,同时在这里发现第二个 flag:
将两个密码使用 CMD5 验证一下:
没验证出来,可能是攻击者改了?
2 隐藏用户
使用 D 盾查看是否存在隐藏账户,发现存在 hack6618$ 用户:
使用 Log Parser 查看该用户的远程登录时间,2024-03-12 11:42:30:
查找 hack6618$ 用户家目录下是否存在遗留文件,在下载目录发现 system.bat 文件:
查看文件内容,发现是 404.php 的 WebShell 写入脚本,同时发现第一个 flag:
3 计划任务
剩下一个 flag 这里我是没找到,看了下 WP,发现是在计划任务里面,但之前用工具箱过了一遍,没过出来,我去。
打开任务计划程序,翻一翻可以看到 GetShell & flag 任务名:
点进去就可以发现攻击者在 2024-03-12 11:49:03 创建了计划任务,发现第三个 flag:
4 总结
Flag 如下:
攻击者的两个 IP 地址:
- 192.168.75.129
- 192.168.75.130
隐藏用户名称:hack6618$
黑客遗留下的 3 个 flag:
- flag{888666abc}
- flag{H@Ck@sec}
- flag{zgsfsys@sec}
