一、靶机介绍

应急响应靶机训练-Web3

前景需要：小苕在省护值守中，在灵机一动情况下把设备停掉了，甲方问：为什么要停设备？小苕说：我第六感告诉我，这机器可能被黑了。

这是他的服务器，请你找出以下内容作为通关条件：

1. 攻击者的两个IP地址
2. 隐藏用户名称
3. 黑客遗留下的flag【3个】

本虚拟机的考点不在隐藏用户以及ip地址，仔细找找把。

相关账户密码：

Windows:administrator/xj@123456

二、解题过程

打开靶机，发现靶机安装了PHP study，打开PHP study，找到web的物理路径，打开

直接使用D盾扫描，进行发现已知后门：404.php和post-safe.php

查看D盾的克隆账号检测工具栏，发现隐藏账号hack6618$，这个应该是攻击者创建的隐藏账号

需要寻找攻击者的ip地址，我们可以分析web网站的日志获得

打开日志文件，直接Ctrl+F搜索404.php，找到攻击者的IP地址192.168.75.129

接下来我们分析windows的系统日志，使用APT-Hunter工具的powershell日志收集器自动收集日志信息，将得到的日志解压

使用APT-Hunter.exe工具分析导出来的结果

APT-Hunter.exe -p C:\Users\Administrator\Desktop\logs\wineventlog -o Project1 -allreport

-p：提供包含使用powershell日志收集器提取的日志的解压路径
-o：输出生成项目的名称

打开Project1_Report.xlsx，查看Security Events sheet发现创建隐藏用户hack6618$的日志

查看TerminalServices Events sheet发现192.168.75.130登录了hack6618$账号，即可以判断192.168.75.130为攻击者的第二个ip

接下来需要寻找三个flag，我看可以先检查异常端口、进程，看看是否存在异常的端口和进程

使用火绒剑工具进行分析

发现存在两个异常的计划任务

用 Win+R 调出运行命令，然后输入 taskschd.msc 回车，打开任务计划程序

在计划任务描述里面发现第一个flag：flag{zgsfsys@sec}

打开计划任务执行的文件，发现第二个flag：flag{888666abc}

检查其他启动项、计划任务和服务未发现有什么问题

接下来我们检查web网站，在PHP study开启aoache和mysql

使用浏览器访问网站，发现网站为z-blogphp

找到后台登录页面，但没有密码无法登录

使用Z-BlogPHP忘记登录密码重置找回工具进行重置密码：zblogphp/utils/nologin.php at master · zblogcn/zblogphp · GitHub

下载解压得到nologin.php文件后，传到网站的根目录，在浏览器中打开：http://localhost/nologin.php

重置Hacker的密码，登录

在用户管理摘要处找到第三个flag：flag{H@Ck@sec}

将答案整理提交