Hvv--知攻善防应急响应靶机--Web3

HW–应急响应靶机–Web3

所有靶机均来自 知攻善防实验室

靶机整理:

  • 夸克网盘:https://pan.quark.cn/s/4b6dffd0c51a#/list/share
  • 百度云盘:https://pan.baidu.com/s/1NnrS5asrS1Pw6LUbexewuA?pwd=txmy

官方WP:https://mp.weixin.qq.com/s/opj5dJK7htdawkmLbsSJiQ

蓝队应急响应工具箱:

  • 夸克网盘:https://pan.quark.cn/s/6d7856efd1d1#/list/share
  • 百度云盘:https://pan.baidu.com/s/1ZyrDPH6Ji88w9IJMoFpANA?pwd=ilzn
前景需要:
小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。这是他的服务器,请你找出以下内容作为通关条件:

1. 攻击者的两个IP地址
2. 隐藏用户名称
3. 黑客遗留下的flag【3个】

本虚拟机的考点不在隐藏用户以及ip地址,仔细找找吧。

解题关键点

计算机管理–隐藏用户

用户密码修改

可疑任务计划

Apache日志

Z-Blog PHP免密登录

虚拟机登录

账号:administrator

密码:xj@123456

image-20240609164019379

进入系统后后发现很多迷惑的文件,打开题解查看需要获得的信息

image-20240609164132875

隐藏用户

打开计算机管理查看隐藏用户,发现隐藏用户 hack6618$

image-20240609165852953

flag1

修改密码,注销当前用户,登录 hack6618$ 用户

image-20240609174231345

登录用户后找了一圈,在 任务计划程序 下面发现了隐藏用户 hack6618$ 创建的两个可疑的任务计划

image-20240609174449431

在两个计划任务的 描述 中发现相同的 flag

image-20240609172840145

flag{zgsfsys@sec}

flag2

然后发现两个计划任务都是在启动 system.bat 程序,打开 system.bat 文件后发现是执行 写入一句话木马 的操作,还打印了一个flag

C:\Users\hack6618$\Downloads\system.bat

image-20240609172738772

flag{888666abc}

此时已经找到了隐藏用户,还有2个flag,剩下2个IP地址和一个flag,看到IP就联想到日志文件

双IP

查看一下 Apache 日志,直接看最大的那个

image-20240609164305568

一开始发现 IP192.168.75.129 的攻击者一直在网站查看有没有漏洞点

image-20240609164618856

攻击者后面一直访问 /zb_system/cmd.php?act=verify 打开网站发现有登录失败的提示,攻击者可能是尝试爆破

网站后台登录页面:

http://localhost/zb_system/login.php

image-20240609173508472

网站后台登录失败后重定向的页面:

http://localhost/zb_system/cmd.php?act=verify

image-20240609164823425

往下看发现 IP 192.168.75.130 的攻击者成功以 admin 用户登录网站

image-20240609165438261

尝试直接访问目标页面,发现没有权限

image-20240609165405451

查看目前权限仅仅是访客

image-20240609165423081

攻击者进入了网站后台,肯定留下了什么痕迹,尝试登录网页后台,但是没有找到admin密码是什么

#双IP
192.168.75.129
192.168.75.130

flag3

Z-Blog 官网找到密码找回工具(免密登录)

#官网文章链接
https://bbs.zblogcn.com/thread-83419.html
#工具下载地址
https://update.zblogcn.com/tools/nologin.zip

image-20240609170701536

下载解压后将 nologin.php 文件放到网站根目录下

#网站根目录
D:\phpstudy_pro\WWW

image-20240609170826439

直接访问 nologin.php ,然后点击重置密码即可

image-20240609171007379

重置密码后直接登录

账号:admin

密码:12345678

image-20240609171129884

成功登录网站后台

image-20240609171231296

用户管理 选项卡下发现 Hacker 用户

image-20240609171344542

点击编辑后,在 用户编辑 页面的摘要中发现 flag

image-20240609171456453

flag{H@Ck@sec}

成功通关

#通关Payload

192.168.75.129
192.168.75.130
hack6618$
flag{zgsfsys@sec}
flag{888666abc}
flag{H@Ck@sec}

image-20240609174854295

  • 5
    点赞
  • 12
    收藏
    觉得还不错? 一键收藏
  • 0
    评论

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值