知善攻防web3应急响应

最新推荐文章于 2025-05-20 11:13:25 发布
最新推荐文章于 2025-05-20 11:13:25 发布
阅读量909 收藏 12
点赞数 16
文章标签: 安全 网络 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2201_75785401/article/details/144279400
版权

最后一个web应急响应 这次的密码与前两次不一样 这次的为yj@123456

1.攻击者的两个IP地址
2.攻击者隐藏用户名称
3.三个攻击者留下的flag

问题1.攻击者的两个IP地址

根据web2的经验猜测两个ip 一个可能是远程 一个是后门建立连接的ip

进行验证 话不多说先上D盾

查到后门含有 404.php 查找日志(此ip是攻击者通过上传木马 与自己的ip进行连接)

在该目录下查看日志发现ip1为192.168.75.129

接下来查找另外一个远程连接暴露的ip 在web1中我们了解到3389端口开放 存在远程连接 这次我是用两种新方法查看ip

输入eventvwr进入时间查看器

接着使用xml搜索语法(事件4624代表远程服务事件打开 10代表登陆成功)

通过xml搜索可以查看远程登录ip

另一种是通过查看应用程序和服务日志来查询

找到远程连接相关的英文

1149代表远程连接成功

同样可以查到ip地址

使用日志分析工具的查找在这里将不在演示

问题2.攻击者隐藏用户名称

在登录界面我们就可以看到隐藏账户

同样也可以参考前两篇文章使用的方法

问题3.三个攻击者留下的flag

需要排查一下启动项 直接使用工具AutoRuns

进入查看是否有flag

在第一个文件夹中找到了flag1

对批处理脚本进行编辑

发现flag2

将小皮apache环境启动 进入网页

我们在不知道用户名密码的前提怎么登陆后台呢 这里用一下别的师傅的Z-Blog重置php文件

#官网文章链接 https://bbs.zblogcn.com/thread-83419.html

#工具下载地址 https://update.zblogcn.com/tools/nologin.zip

将nologin放在www目录下进行访问

将Hacker的密码已经重置 我们进入查看

在用户管理 找到Hacker进行编辑 发现flag3

至此我们问题已经全部找到

来验证一下答案是否正确

至此web应急响应靶机就结束了 希望师傅们对不对的地方做出评价

Lee-ruth
关注
Windows应急响应靶机 - Web3
qq_48904485的博客
06-27 1361
小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。本虚拟机的考点不在隐藏用户以及ip地址,仔细找找把。
Web2 应急靶机笔记
LINGX5的博客
09-12 1090
这是一台防实验室的应急响应靶机,主要还是练习应急响应的一些技巧,熟悉一些应急所用到的工具。靶机可以关注他们的公众号《防实验室》进行获取。
应急响应靶场练习-web3
weixin_71228046的博客
04-15 232
发现flag, system.bat一运行就会生成404.php,内容为一句话木马,黑客应该是在上传木马读取系统文件。可以看到在登录用户,但响应值为500说明该用户名错误,攻击者可能在爆破。可以看到处了本机之外还有两个ip地址,怀疑是攻击者的两个IP地址。在该任务的操作中看到在启动system.bat程序。在用户管理中,看到hacker用户并且查看编辑。在Z-Blog官网找到密码找到免密登录的工具。在计划任务中找到一个名为flag的任务。\3. 黑客遗留下的flag【3个】在计算机管理中找到隐藏用户。
应急响应靶机-web3-防实验室
m0_62840741的博客
08-16 950
前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。
应急响应web3靶场实战
helloKittywz的博客
06-01 987
然后都要不行,后面我想到了这个不是我自己的服务器吗,我想干什么就干什么,然后就重置了管理员的密码,也就是进入到网站后台,查看到了hack这个隐藏用户留下的第3个flag。我做到这点过后,怎么都找不到最后一个flag,然后我就看创建的用户的那些文件,和桌面都没有找到有用的线索,,在开机自启动项目这点来下功夫,所有我们在查看计划任务的时候发现了第2个flag以及第2个ip地址。看见2个可疑的东西,查看里面的内容,发现了是我们想要的flag。在我登录失败的时候出现了这个,管理员忘记密码怎么办?
应急响应靶场练习-Web篇(防实验室)
weixin_64815500的博客
06-03 2190
出现告警,直接工具一键日志分析或者手动日志分析查看一下是否有登录成功的信息。如果有的话记录ip、时间和路径,直接上D盾等webshell扫描工具排查异常账户,控制页面、net user、注册表sam排查影子用户其shell文件或者log查找关键信息如连接密码等常规D盾,中间件日志分析,工具远程登录日志分析等排查查看计划任务taskschd.msc,如果有找到执行的程序/路径去网站网页下面寻找信息。
防-应急响应靶机-web2-z05-z07.zip
12-26
文件名“防-应急响应靶机-web2-z05-z07.zip”暗示了一个涉及网络应用安全的训练环境,需要参与者结合攻击和防御技术,通过实际操作来提升自身的网络安全能力。这对于网络安全人才的培养和提高网络安全防护水平...
Web1应急靶机笔记--详解
m0_74825093的博客
12-26 781
这是一台防实验室的应急响应靶机,方便大家练习一下应急响应的流程和操作。靶机的前景概述:前景需要:小李在值守的过程中,发现有CPU占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:1.攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名用户:密码靶机地址提取码:1gs2。
Windows应急响应——防应急靶场
qq_42494313的博客
02-02 823
小李在值守的过程中,发现有占用飙升,出于胆子小,就立刻将服务器关机,这是他的服务器系统,请你找出以下内容,并作为通关条件:攻击者的shell密码2.攻击者的IP地址3.攻击者的隐藏账户名称4.攻击者挖矿程序的矿池域名用户:密码关于靶机启动解压后直接用Vmware打开即可。
防靶机应急响应近源渗透
来而不往非礼也
05-22 834
本次应急响应和之前的web不一样,也是我第一次道近源渗透这个东西,排查的重点也有些许不同,从开始的日志转变成对于软件后门的摸查,也学到了很多东西。同时以下师傅的文章和工具也对我有了很大的帮助,希望同样能正在学习的的你有所帮助。windouws应急响应摸查微步的云沙箱官方题解。
应急响应靶机训练-Web3
tmyzxy1314的博客
05-23 2008
本次应急响应靶机采用的是防实验室的Web-3应急响应靶机 靶机下载地址为: https://pan.quark.cn/s/4b6dffd0c51a 相关账户密码 用户:administrator 密码:xj@123456xj@123456。一步一步找下去就找到了(记得给administrator用户完全控制SAM目录的权限)flag怎么找我的习惯是先去看看隐藏用户的目录下有没有藏东西。经过我的火眼金睛最后还是让我找到两个攻击者ip地址了吧。最后在用户编辑这里找到了最后一个flag。
应急响应-Web3
weixin_44770698的博客
08-04 580
打开虚拟机之后,运行解题系统:共有三个问题!
防靶机应急响应web3
来而不往非礼也
05-09 460
应急响应靶机
应急响应靶机训练-Web3防实验室)
qq_42421872的博客
11-14 484
我们在查看计划任务的时候,发现了一个任务名为Attack@Flag和GetShell&flag的有点可疑,我们先打开他查询一下。我们先打开小皮,然后运行他的网站,去网站看看,发现是Z-Blog的,后台账号密码都不道,去百度看看有找回工具吗。在文件管理器最近访问里面发现了一个可疑的system.bat的文件,打开瞅瞅。我们先在桌面找到了小皮面板,然后去看apache的日志或者nginx的日志。先更改一下hacke6618$的密码,先从他的账号开始找。我在登录的时候发现,这里直接显示了隐藏的账号。
【zblog】zblog后台的应用中心登录不了 提示错误怎么办?
lieweihan0913的博客
08-08 838
在本地安装主题时出现,要登录zblog后台应用中心 可是在登录的时候,却提示账号密码错误,怎么办? 最大的原因,就是没有把插件之类的更新到最新,如何更新? 在下图应用中心箭头处,有个更新到最新版本,点击更新即可 更新完,就可以登录应用中心了。 登录应用中心生成一个密码口令即可 注: 首先,如果你没有应用中心的账号密码,先去注册一个账号密码。 ...
2-不求人-WINDOWS入侵排查
w_kndy的博客
11-02 167
windwos入侵排查思路及步骤
TDengine 安全部署配置建议
TDengine(老段)专注时序数据库领域
05-19 1177
数据安全是 TDengine 产品的一项关键指标,这些措施旨在保护 TDengine 部署免受未经授权的访问和数据泄露,同时保持性能和功能。但 TDengine 自身的安全配置不是生产中的唯一保障,结合用户业务系统制定更加匹配客户需求的解决方案更加重要。
保密行业工作沟通安全:吱吱软件的“四重防泄露”设计
最新发布
Zhizhitalk的博客
05-20 428
工作沟通安全威胁是指在金融、科技、医疗等保密行业中,错发、泄露、窃取一条消息或者一份文件,都有可能引发数据安全灾难性失控。以往的即时通讯软件仅依赖单一的加密手段,无法满足保密行业从发送、传输到接受全链路加密的更高规格的数据安全要求。国产企业级别的加密通讯软件“吱吱”,凭借其“四重防泄漏”设计,正在为保密行业构建立体全方位的保护防线。
应急响应靶机练习-web3
01-05
### 关于应急响应靶机练习中的Web3资源 在进行应急响应靶机练习时,针对Web3技术的学习和实践尤为重要。对于希望深入理解并掌握Web3安全性的个人而言,可以从以下几个方面获取相关资源和支持。 #### Web3应急响应靶机介绍 为了更好地理解和应对Web3环境下的攻击模式和技术手段,可以利用专门设计用于模拟真实世界网络攻击场景的虚拟实验室——即所谓的“靶机”。这类平台允许参与者在一个受控环境中测试自己的技能,并通过解决实际问题来提高技术水平[^2]。 #### 获取Web3应急响应靶机的方法 有多种途径可以获得适合做Web3应急响应训练的靶机: - **官方渠道**:一些名的CTF竞赛网站会不定期发布基于区块链或去中心化应用(DApps)构建的任务挑战赛;这些活动通常伴随着详细的文档说明以及必要的安装包下载链接。 - **社区分享**:活跃的技术交流平台上经常会有开发者上传自己制作的小型实验项目供他人参考学习。例如,在CSDN博客上就有作者提供了名为`windows-web3`的一系列教程及其配套使用的镜像文件下载地址。 ```bash wget https://pan.quark.cn/s/1fb45a02f814 -O windows-web3.zip unzip windows-web3.zip ``` #### 学习路径建议 除了直接参与具体的攻防演练外,还应该注重理论识体系的建设。这包括但不限于熟悉常见的智能合约漏洞类型、Solidity编程语言特性等基础识。同时也要关注行业动态和发展趋势,及时更新自身的认框架[^1]。 #### 实战技巧总结 当面对复杂的Web3应用场景时,有效的分析方法论不可或缺。这里列举几个实用性强的原则作为参考: - 始终保持怀疑态度对待任何未经验证的信息输入; - 对每一行代码都执行严格的审计流程; - 积极参加各类线上线下培训课程以拓宽视野范围。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值