背景介绍
前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。
挑战内容
-
攻击者的两个IP地址
-
隐藏用户名称
-
黑客遗留下的flag1
-
黑客遗留下的flag2
-
黑客遗留下的flag3
解题过程
打开靶机
发现隐藏账户,在注册表和本地用户和组也能发现
WIN+R->运行,输入regedit
WIN+R->运行,输入lusrmgr.msc
1.攻击者的两个IP地址
2.隐藏用户名称
3.黑客遗留下的flag1
4.黑客遗留下的flag2
5.黑客遗留下的flag3
有网站和数据库
先看一下网站根目录的web应用日志
把这几个的logs目录都看了,发现都是0kb,怀疑没有日志,其实是Apache是有日志的,只是没加载出来
可以看到有大量爆破行为
日志中有两个ip其中192.168.75.129有明显爆破行为,还有192.168.75.130
在远程登录日志中发现了192.168.75.130
1.攻击者的两个IP地址
2.隐藏用户名称
3.黑客遗留下的flag1
4.黑客遗留下的flag2
5.黑客遗留下的flag3
排查计划任务,WIN+R->运行,输入taskschd.msc,发现flag1
继续查看此定时任务的操作行为
打开system.bat
此任务是定时写入一句话木马,发现flag2
排查404.php没有其他发现,
也并没有发现异常进程和端口。猜测剩下一个flag应该不再本地文件中,还有MySQL和网站的管理后台没有排查。
排查数据库
登录失败,应该是不能远程登录
查看host发现只能本地登录
在本地登录后,排查博客数据库,在zbp_member表发现flag3
1.攻击者的两个IP地址
2.隐藏用户名称
3.黑客遗留下的flag1
4.黑客遗留下的flag2
5.黑客遗留下的flag3
数据库中也有博客账户的密码,只不过是加密的,可以将自己的密码加密后覆盖原密码。
而后了解到有一个文件可以重置管理员密码下载地址Z-BlogPHP密码找回工具
报错,把这里改成绝对路径
登录后在Hacker用户的编辑页面也可以找到flag3
攻击视角
1.通过信息搜集发现有博客系统的管理后台暴露,遂通过爆破获取后台管理员权限,
2.登录后台后,通过后台文件上传漏洞拿到shell
3.创建隐藏用户
4.添加计划任务,定时写入一句话木马