Hvv--知攻善防应急响应靶机--Web3

HW–应急响应靶机–Web3

所有靶机均来自 知攻善防实验室

靶机整理：

• 夸克网盘：https://pan.quark.cn/s/4b6dffd0c51a#/list/share
• 百度云盘：https://pan.baidu.com/s/1NnrS5asrS1Pw6LUbexewuA?pwd=txmy

官方WP：https://mp.weixin.qq.com/s/opj5dJK7htdawkmLbsSJiQ

蓝队应急响应工具箱：

• 夸克网盘：https://pan.quark.cn/s/6d7856efd1d1#/list/share
• 百度云盘：https://pan.baidu.com/s/1ZyrDPH6Ji88w9IJMoFpANA?pwd=ilzn

前景需要：
小苕在省护值守中，在灵机一动情况下把设备停掉了，甲方问：为什么要停设备？小苕说：我第六感告诉我，这机器可能被黑了。这是他的服务器，请你找出以下内容作为通关条件：

1. 攻击者的两个IP地址
2. 隐藏用户名称
3. 黑客遗留下的flag【3个】

本虚拟机的考点不在隐藏用户以及ip地址，仔细找找吧。

解题关键点

计算机管理–隐藏用户

用户密码修改

可疑任务计划

Apache日志

Z-Blog PHP免密登录

虚拟机登录

账号：administrator

密码：xj@123456

进入系统后后发现很多迷惑的文件，打开题解查看需要获得的信息

隐藏用户

打开计算机管理查看隐藏用户，发现隐藏用户 hack6618$

flag1

修改密码，注销当前用户，登录 hack6618$ 用户

登录用户后找了一圈，在 任务计划程序 下面发现了隐藏用户 hack6618$ 创建的两个可疑的任务计划

在两个计划任务的 描述 中发现相同的 flag

flag{zgsfsys@sec}

flag2

然后发现两个计划任务都是在启动 system.bat 程序,打开 system.bat 文件后发现是执行 写入一句话木马 的操作，还打印了一个flag

C:\Users\hack6618$\Downloads\system.bat

flag{888666abc}

此时已经找到了隐藏用户，还有2个flag，剩下2个IP地址和一个flag，看到IP就联想到日志文件

双IP

查看一下 Apache 日志，直接看最大的那个

一开始发现 IP 为 192.168.75.129 的攻击者一直在网站查看有没有漏洞点

攻击者后面一直访问 /zb_system/cmd.php?act=verify 打开网站发现有登录失败的提示，攻击者可能是尝试爆破

网站后台登录页面：

http://localhost/zb_system/login.php

网站后台登录失败后重定向的页面：

http://localhost/zb_system/cmd.php?act=verify

往下看发现 IP 为 192.168.75.130 的攻击者成功以 admin 用户登录网站

尝试直接访问目标页面，发现没有权限

查看目前权限仅仅是访客

攻击者进入了网站后台，肯定留下了什么痕迹，尝试登录网页后台，但是没有找到admin密码是什么

#双IP
192.168.75.129
192.168.75.130

flag3

在 Z-Blog 官网找到密码找回工具（免密登录）

#官网文章链接
https://bbs.zblogcn.com/thread-83419.html
#工具下载地址
https://update.zblogcn.com/tools/nologin.zip

下载解压后将 nologin.php 文件放到网站根目录下

#网站根目录
D:\phpstudy_pro\WWW

直接访问 nologin.php ，然后点击重置密码即可

重置密码后直接登录

账号：admin

密码：12345678

成功登录网站后台

在 用户管理 选项卡下发现 Hacker 用户

点击编辑后，在 用户编辑 页面的摘要中发现 flag

flag{H@Ck@sec}

成功通关

#通关Payload

192.168.75.129
192.168.75.130
hack6618$
flag{zgsfsys@sec}
flag{888666abc}
flag{H@Ck@sec}