B-5:应急响应
任务环境说明:
服务器场景:Server2010
服务器场景操作系统:未知(开放链接)
1.黑客通过网络攻入本地服务器,在Web服务器的主页上外挂了一个木马连接,请你找到此连接并删除该连接,将对应的标题名称作为flag值提交;
直接登录连接目标机器,使用账号:Administrator,密码:123456进行登录,这里我们登录到目标机器,直接打开C盘文件,找到web服务的主页,路径在:C:\inetpub\wwwroot\
我们这里看到4个php文件,我们依次点开看一下里面都是什么,当我们看到3.php时发现里面存在一句话木马
接下来我们知道3.php里面存在一句话木马,就去web页面找到相应的标题名称,也是同样的一个个标题点击查看,当我们点到(skills)这个标签时,发现里面的内容与3.php里面输出的内容相同,都是在找找吧
flag:{skills}
2.黑客攻入本地的数据库服务器,并添加了除admin以外的具有一个管理员权限的超级用户,将此用户的密码作为flag值提交;
因为这里远程连接是有报错的,所以我们在本地进行登录,
这里我们查看了MySQL的用户和密码,发现除了原始root以及题目上说的admin以外有一个名为(r@0t)的用户以及密码
删除用户
flag:{ae1rfy9e}
3.黑客攻入本地服务器,在本地服务器建立了多个超级用户,请你删除除了Administrator用户以外的其他超级管理员用户,然后在命令行窗口输入net user,将Administrator右边第一个单词作为flag值提交;
这里我们找到计算机管理
找到Administrators这个组
按照题目要求依次对用户进行删除,只保留Administrator用户
再打开cmd,使用命令net user,对用户进行查看
flag:{Desktop}
4.黑客修改了服务器的启动内容,请你删除不必要的启动项程序,将该启动项程序的名称作为flag值提交;(如有多个名称之间以英文逗号分隔,例hello,test)
这里找到启动项提交并删除就好了
flag:{hack,Test}
5.黑客在服务器某处存放了一个木马程序,请你找到此木马程序并清除木马,将木马文件名作为flag值提交。
这里还是返回到第一题的那个文件:C:\inetpub\wwwroot\,打开这个路径找到3.php,点开这个php文件,删除里面的一句话木马就好了
flag:{3.php}