前景需要:小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。
我们需要获取以下信息:
- 攻击者的外网IP地址
- 攻击者的内网跳板IP地址
- 攻击者使用的限速软件的md5大写
- 攻击者的后门md5大写
- 攻击者留下的flag
一:环境配置
我们下载好网盘中的该靶场,解压打开VM进行扫描虚拟机,选择对应文件打开即可,对应的密码在相应文本里。
注意版本要求,要求VM在17.0以上,不然可能会出现打不开情况。
二:获取攻击者的外网IP地址
分析当前情况:这是一个被近源的主机,因此可能想到的是被钓鱼了
所以我们优先考虑电脑里的可疑文件
在浏览器中打开沙盒在线网站,将这几个文件都测试一下,看看有没有问题
例如:
通过检测我们发现其中应该文档有问题,并发现了IP地址:8.219.200.130
三:获取攻击者的内网跳板IP地址
我们观察桌面软件发现:桌面上存在一个phpstudy 修复的bat 文件,但是其目标居然是另一个bat
我们找到相应的位置,但木有找到,那么就需要考虑是不是隐藏了文件夹。
然后我们会发现桌面多出来一个文件夹叫lnk
其中有一个.bat文件,用记事本打开,
阔以发现里面记录着我们需要的跳板IP
及:内网IP192.168.20.129,端口801
四:获取攻击者使用的限速软件的MD5大写内容
这个软件怎么找到的呢?这里使用的笨方法,在C盘里找到可以文件。
具体位置在,如图所示:
如果不了解这个软件,我们可以上网进行了解:限制别人网速
然后:在线网站计算给工具的MD5,后面转成大写即可
五:获取攻击者的后门MD5(大写)
常规流程:这个后门本以为是文件后门,原来是五次shift 的后门
五次shfit 后门原理是替换C:\windows\system32\sethc.exe 文件,取该文件的md5大写即可
六、获取攻击者留下的flag
七:提交答案
以上就是完整的解题流程,如果有什么疑惑欢迎评论区留言!!
