Hvv--知攻善防应急响应靶机--Web2

最新推荐文章于 2024-07-25 10:00:08 发布
最新推荐文章于 2024-07-25 10:00:08 发布
阅读量733 收藏 21
点赞数 18
分类专栏: 应急响应靶机 文章标签: 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/GDL1411983801/article/details/139632213
版权

HW–应急响应靶机–Web2

所有靶机均来自 知攻善防实验室

靶机整理:

  • 夸克网盘:https://pan.quark.cn/s/4b6dffd0c51a#/list/share
  • 百度云盘:https://pan.baidu.com/s/1NnrS5asrS1Pw6LUbexewuA?pwd=txmy

官方WP:https://mp.weixin.qq.com/s/opj5dJK7htdawkmLbsSJiQ

蓝队应急响应工具箱:

  • 夸克网盘:https://pan.quark.cn/s/6d7856efd1d1#/list/share
  • 百度云盘:https://pan.baidu.com/s/1ZyrDPH6Ji88w9IJMoFpANA?pwd=ilzn
前景需要:

小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。

这是他的服务器系统,请你找出以下内容,并作为通关条件:

1.攻击者的IP地址(两个)?
2.攻击者的webshell文件名?
3.攻击者的webshell密码?
4.攻击者的伪QQ号?
5.攻击者的伪服务器IP地址?
6.攻击者的服务器端口?
7.攻击者是如何入侵的(选择题)?
8.攻击者的隐藏用户名?

解题关键点

Apache、FTP日志

Log Parser 远程登录日志

QQ文件默认存放位置

虚拟机登录

账号:Administrator

密码:Zgsf@qq.com

image-20240608212751486

#解题.exe
1.攻击者的IP地址(两个)?
2.攻击者的webshell文件名?
3.攻击者的webshell密码?
4.攻击者的QQ号?
5.攻击者的服务器伪IP地址?
6.攻击者的服务器端口?
7.攻击者是如何入侵的(选择题)?
8.攻击者的隐藏用户名?

攻击IP1

查找 Apache 日志

image-20240609085451237

打开 PHPstudyApache 服务,打开网站,发现了 WordPress 的经典 favicon.icon ,确定 CMSWordPress

image-20240609085817936

分析 Apache 日志,发现IP为 192.168.126.135 的攻击者可能用了 wpscan 工具进行了目录扫描

image-20240609085906393

#攻击IP1
192.168.126.135

攻击IP2 | webshell文件名与密码 | 入侵方式

时间越往下是越新的日志,没有找到Webshell上传的特征,但是查看最新日志发现 system.php 一直被访问,疑似为Webshell文件

image-20240609090312887

如果不是通过Web页面上传,看看有没有其他的上传点。找了一圈发现存在FTP服务,且密码为弱口令 admin666888 ,攻击者很可能进行爆破

image-20240609090741020

查看 FTP 日志,发现攻击者进行密码爆破过程

C:\phpstudy_pro\Extensions\FTP0.9.60\Logs\fzs-2024-02-29.log

image-20240609093901082

查询 system.php 文件发现存在一次完整的 FTP 文件传输过程,可以判定攻击者是利用 FTP 服务进行攻击

image-20240609093632601

查看 system.php 文件,确定为 Webshell 文件,且连接密码为 hack6618 ,发现存在 key ,攻击者可能利用的是冰蝎或者哥斯拉等 Webshell 管理工具

image-20240609094203881

利用日志分析工具 Log Parser 一键分析 Windows 日志,查看远程桌面登录成功日志,发现攻击者的隐藏用户 hack887$ ,且发现攻击 IP192.168.126.129

image-20240609095005355

#攻击IP2
192.168.126.129

#webshell文件名
system.php

#webshell密码
hack6618

#入侵方式
FTP攻击

伪QQ号

查看用户没发现攻击用户,是隐藏用户,尝试利用 cmd 命令删除攻击者用户,发现不能删除

image-20240609095457128

猜测为克隆账号,利用D盾的克隆账号检测工具发现确实克隆了管理员的账号

image-20240609095625960

在攻击者用户找到了注册表项,可能添加了注册表信息

image-20240609101710819

打开 regedit 注册表,寻找攻击者用户

image-20240609095704333

如果需要删除用户,删除攻击者用户以及3E8即可

image-20240609095758198

但是D盾自带删除账号功能,可直接右键,选择 删除账号 进行删除

image-20240609101933225

发现删除成功

image-20240609101928277

检查发现已经删除干净

image-20240609102049896

由于是克隆用户,肯定会留下一些信息,寻找攻击者遗留下来的信息,在文档内发现 Tencent Files 文件夹,猜测使用过腾讯的通讯工具,打开后发现黑客伪QQ号 777888999321

哪个🐖会在服务器装通讯工具???

image-20240609095903499

#伪QQ号
777888999321

伪服务器IP地址与端口

进入后发现 在 FileRecv 目录下存在 frp(内网穿透工具) ,在 frpc.ini 配置文件中找到伪 IP 256.256.66.88 以及伪端口 65536

image-20240609100140267

#伪服务器IP地址
256.256.66.88

#端口
65536

成功通关

#通关Payload

192.168.126.129
192.168.126.135
system.php
777888999321
256.256.66.88
3
65536
hack887$

image-20240609100635470

不会打ctf
关注
  • 18
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
hvv-rest:汉堡公共交通的HTTP API
05-23
hvv-rest是一种公共交通REST API ,是的干净替代方案。 它部署在 。 安装和运行 hvv-rest期望服务器在127.0.0.1:6379 (默认端口)上运行,但是您可以设置REDIS_URL环境变量来更改此设置。 通过Docker Docker映像 ...
webshell事件应急响应服务现场操作手册
04-07
webshell事件应急响应服务现场操作手册
知攻善防应急响应靶机训练-Web3
tmyzxy1314的博客
05-23 969
本次应急响应靶机采用的是知攻善防实验室的Web-3应急响应靶机 靶机下载地址为: https://pan.quark.cn/s/4b6dffd0c51a 相关账户密码 用户:administrator 密码:xj@123456xj@123456。一步一步找下去就找到了(记得给administrator用户完全控制SAM目录的权限)flag怎么找我的习惯是先去看看隐藏用户的目录下有没有藏东西。经过我的火眼金睛最后还是让我找到两个攻击者ip地址了吧。最后在用户编辑这里找到了最后一个flag。
应急响应靶场web2】
一纸荒芜的博客
03-15 1502
靶场来源:知攻善防实验室
应急响应靶机训练-Web2【题解】
Liyu_6618的博客
03-04 934
应急响应靶机训练-Web2【题解】
应急响应靶场练习-Web篇(知攻善防实验室)
weixin_64815500的博客
06-03 1237
出现告警,直接工具一键日志分析或者手动日志分析查看一下是否有登录成功的信息。如果有的话记录ip、时间和路径,直接上D盾等webshell扫描工具排查异常账户,控制页面、net user、注册表sam排查影子用户其shell文件或者log查找关键信息如连接密码等常规D盾,中间件日志分析,工具远程登录日志分析等排查查看计划任务taskschd.msc,如果有找到执行的程序/路径去网站网页下面寻找信息。
知攻善防应急响应靶机训练-Web2
tmyzxy1314的博客
05-23 496
本次应急响应靶机采用的是知攻善防实验室的Web-2应急响应靶机 靶机下载地址为: https://pan.quark.cn/s/4b6dffd0c51a 相关账户密码 用户:administrator 密码:Zgsf@qq.com。ftp服务日志有很多内容记录,可以观察到有许多登陆失败的日志,很明显是在做口令暴力破解,攻击者IP也是一样的。二、攻击者的webshell文件名?三、攻击者的webshell密码?七、攻击者是如何入侵的(选择题)?一、攻击者的IP地址(两个)?五、攻击者的伪服务器IP地址?
应急响应靶机训练-Web2
2201_75316477的博客
03-18 649
前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。到这里还差一个攻击者的另一个ip,我是没找到,看了一下解题思路,另一个IP是使用蓝队工具箱的日志分析工具找到的。打开QQ号文件下的FileRecv文件夹,看到了黑客上传的frp工具,查看配置文件frpc.ini文件。查看apache日志文件可以发现攻击者的一个ip为192.168.126.135,在启动靶机时,如果你的vm版本为16,请将虚拟机的vmx文件改一下。
网络安全-技战法.pdf
08-12
技战法.pdf
schema-registry-gitops:通过基础架构以代码方式管理Confluent Schema Registry主题
05-24
概述架构注册表GitOps是一种“基础结构即代码”工具,它将通过...用法 Usage: schema-registry-gitops [-hvV] [--properties=] [-r=] [COMMAND]Manages schema registries through Infrastructure as Code -h, --help S
2-Higgs doublet复合模型的LHC现象学
04-05
我们基于打破SO(6)→SO(4)×SO(2)的全局对称性,研究了各种Yukawa类型的复合2-Higgs doublet模型(C2HDMs)的现象。 动力学部分和Yukawa Lagrangian是根据伪Nambu-Goldstone玻色子(pNGB)矩阵和SO下的6升...
Windows靶机应急响应(二)
流水不争先,争的是滔滔不绝
04-06 909
Windows靶机应急响应
前来挑战!应急响应靶机训练-Web2
Liyu_6618的博客
03-01 1143
应急响应靶机训练,为保证每位安服仔都有上手的机会,不做理论学家,增加动手经验,可前来挑战应急响应靶机-web1,此系列后期会长期更新,关注本公众号,被动学习。前景需要:小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。使用Vmware启动即可,如启动错误,请升级至Vmware17.5以上。3.攻击者的webshell密码?7.攻击者是如何入侵的(选择题)?1.攻击者的IP地址(两个)?5.攻击者的伪服务器IP地址?4.攻击者的伪QQ号?
Windows应急响应靶机 - Web2
qq_48904485的博客
06-21 1011
小李在某单位驻场值守,深夜12点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。这是他的服务器系统,请你找出以下内容,并作为通关条件:1.攻击者的IP地址(两个)?2.攻击者的webshell文件名?3.攻击者的webshell密码?4.攻击者的伪QQ号?5.攻击者的伪服务器IP地址?6.攻击者的服务器端口?7.攻击者是如何入侵的(选择题)?8.攻击者的隐藏用户名?用户:administrator密码:Zgsf@qq.com。
企业如何保证公司内网安全
最新发布
shunyou0526的博客
07-25 319
部署防火墙和入侵检测系统:作为内网安全的第一道防线,防火墙和入侵检测系统能够有效阻止外部攻击和恶意软件的入侵。访问控制与身份验证:实施严格的访问控制策略,结合多因素认证(MFA),确保只有授权用户才能访问关键系统和数据。日志管理:建立全面的日志记录和审计机制,对所有数据访问、修改、删除等操作进行记录,以便于追踪和分析。电脑监控软件:使用电脑监控软件来监控员工的屏幕活动、上网行为等,防止内部威胁和不当使用公司资源。反病毒软件与反间谍软件:部署反病毒软件和反间谍软件等恶意软件防护工具,实时监测和清除恶意软件。
极速下载!青苹果系统Win7旗舰版:稳定安全
lihuiyun184291的博客
07-25 399
今天系统之家小编给大家带来了青苹果系统Win7旗舰版镜像,该版本系统离线制作而成,安全无病毒,还升级了防火墙功能,大家安装后时刻都能放心操作。同时,它是在保持原有的功能并适度优化,保留下来的功能轻松满足大家的使用需求,系统稳定性也很高,运作顺畅不卡顿。
微软蓝屏事件引发对构建更加稳固和安全的网络环境的思考
lupai的博客
07-24 481
综上所述,构建更加稳固和安全的网络环境需要政府、企业和用户共同努力,从政策、技术、用户行为等多个方面入手,形成全方位、多层次的网络安全防护体系。构建更加稳固和安全的网络环境是一个系统工程,需要从多个方面入手,包括政策、技术、用户行为等多个层面。建立完善的应急响应机制,制定应急预案和演练计划,提高应对网络攻击和突发事件的能力。鼓励和支持网络安全技术的研发和创新,推动新技术在网络安全领域的应用和推广。加强对用户的网络安全教育,提高用户的网络安全意识和防范能力。
网络战时代的国家安全:策略、技术和国际合作
2301_79955948的博客
07-24 1129
网络战时代的国家安全涉及到策略、技术和国际合作等多个方面。
hvv面试题 struts2
04-07
Struts2 是一个基于 Java 的开源 Web 应用框架,它是 Struts 框架的升级版。它提供了一种简单、灵活且可扩展的方式来开发企业级的 Java Web 应用程序。在 HVV 面试中,可能会涉及到 Struts2 相关的问题。以下是一些常见的 Struts2 面试题及其答案: 1. 什么是 Struts2? Struts2 是一个基于 MVC(Model-View-Controller)设计模式的 Web 应用框架,它通过将应用程序的不同部分分离开来,使开发更加模块化和可维护。 2. Struts2 的主要特点有哪些? - 基于 MVC 设计模式,使代码更加清晰和可维护。 - 提供了丰富的标签库和表单验证机制,简化了前端开发。 - 支持国际化和本地化,方便开发多语言应用。 - 提供了拦截器机制,可以对请求进行预处理和后处理。 - 支持 RESTful 风格的 URL 映射。 3. Struts2 的工作原理是什么? 当用户发送请求时,Struts2 的前端控制器(DispatcherServlet)接收到请求并将其分发给相应的 Action 类。Action 类处理请求并生成响应结果,然后将结果返回给前端控制器。前端控制器再将结果发送给视图层进行展示。 4. Struts2 中的拦截器是什么?有什么作用? 拦截器是 Struts2 中的一个重要组件,它可以在请求被处理前后进行预处理和后处理。拦截器可以用于实现身份验证、日志记录、性能监控等功能,提高应用程序的安全性和可维护性。 5. Struts2 中的常用标签有哪些? Struts2 提供了丰富的标签库,用于简化前端开发。常用的标签有: - `<s:form>`:用于生成表单。 - `<s:textfield>`:用于生成文本输入框。 - `<s:select>`:用于生成下拉列表。 - `<s:checkbox>`:用于生成复选框。 - `<s:submit>`:用于生成提交按钮。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值