应急响应web3靶场实战

做了一个应急响应的靶场现在来总结一下我做题的思路

这个是我做题自己做题的时候的思路。

这个题我自己感觉只有第3个flag比较难找,其他的都是比较的简单,但是我做的时候没有找到第3个flag。

发现了后门文件,但是去看了过后跟我们想要的没有什么关系。然后看谁访问了这些文件,就说明是攻击者。

然后在查看开机启动项

看见2个可疑的东西,查看里面的内容,发现了是我们想要的flag。

看完了开机自启动项,然后看定时任务,因为攻击者要进行权限维持,会创建定时任务,在开机自启动项目这点来下功夫,所有我们在查看计划任务的时候发现了第2个flag以及第2个ip地址

我们在查看日志的时候,可疑去查看登录成功和失败的日志也就是id为4624和4625

还可以查看创建用户的事件id,删除用户的事件id

4720,4722,4723,4724,4725,4726,4738,4740,事件ID表示当用户帐号发生创建,删除,改变密码时的事件记录。
4727,4737,4739,4762,事件ID表示当用户组发生添加、删除时或组内添加成员时生成该事件。

我发现了下面的这个,也就是第2个攻击者的IP地址

2024-03-12 11:41:57	hack6618$	DESKTOP-PESL5DR	%%2313	0xc000006a	NtLmSsp 	0x0	-	192.168.75.130	4625

然后在用工具查看到隐藏用户,也可以到控制面板或者注册表中去查看。

我做到这点过后,怎么都找不到最后一个flag,然后我就看创建的用户的那些文件,和桌面都没有找到有用的线索,服务那些,可疑的端口,建立的连接那些我都找了的,都没有想要的。

然后我看wp才发现,最后一个flag是在网站里面的

然后进行登录到后台,我先开始想到的是使用万能密码进行登录或者是暴力破解进行登录,然后都要不行,后面我想到了这个不是我自己的服务器吗,我想干什么就干什么,然后就重置了管理员的密码,也就是进入到网站后台,查看到了hack这个隐藏用户留下的第3个flag

在我登录失败的时候出现了这个,管理员忘记密码怎么办????

我们就下载然后重置密码

下载下来移动到根目录进行浏览器打开

打开重置密码

进行登录操作

在用户管理的地方找到了第三个flag这个是我没有想到的地方

也是让我积累了排查的时候多一点的思路。多做做实践才慢慢掌握思路。也是收获了一些。

  • 10
    点赞
  • 8
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Linux web服务器应急响应靶场是一个模拟真实环境下的紧急事件响应练习场所。该靶场旨在提供一个具有高度仿真度的网络环境,以帮助安全人员提升对Linux web服务器应急响应能力。 首先,靶场会模拟真实的攻击场景,包括常见的漏洞利用和攻击技术,如SQL注入、跨站脚本攻击、远程命令执行等等。通过对这些攻击进行实践,安全人员能够学习并理解攻击者的手段和思路,从而更好地应对和防范类似攻击。 其次,靶场提供了一系列实际的应急响应演练,可以让安全人员在真实环境中应对各种紧急事件。比如,在被攻击后的服务器恢复和修复、日志分析和溯源等方面进行演练。通过这些实践,安全人员能够锻炼应急响应的技能,提升对应急事件的处理能力。 此外,靶场还提供了一些工具和资源,用于监控和检测攻击行为,以及收集和分析攻击相关的数据。通过这些工具的使用,安全人员可以更好地掌握攻击者的行为特征,及时发现异常情况并采取相应措施。同时,还能够积累更多的经验,为今后的实际工作提供更好的应对手段和方法。 总之,Linux web服务器应急响应靶场是一个非常有益的训练和实践场所,可以帮助安全人员提升Linux web服务器应急响应的能力和技巧。通过参与靶场的训练,可以提高应对紧急事件的速度和准确性,从而更好地保护服务器和网站的安全

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值