目录

一、攻击者的两个IP地址

二、隐藏用户名称

三、黑客遗留下的flag【3个】

下载好靶场（前来挑战！应急响应靶机训练-Web3）并搭建好环境，使用帐号密码（administrator / xj@123456）登录靶机。

一、攻击者的两个IP地址

打开phpStudy目录，查看中间件日志情况，Nginx无日志，Apache有日志。

打开Apache日志随便一翻，就能看到192.168.75.129存在大量响应异常的访问记录，疑似攻击者的IP地址。

使用命令compmgmt.msc打开计算机管理，在系统工具->事件查看器->Windows日志->安全下，点击筛选当前日志，筛选事件ID是4625的登录失败发现，发现192.168.75.130存在登录失败行为，但是登录失败并不连续，不像是爆破更像是输错密码，因此不太好判断是攻击者的IP地址。

二、隐藏用户名称

使用命令compmgmt.msc打开计算机管理，在系统工具->本地用户和组->用户下，发现以$结尾的隐藏用户hack6618$。

三、黑客遗留下的flag【3个】

第一个flag：

使用命令compmgmt.msc打开计算机管理，在系统工具->任务计划程序->任务计划程序库 下，看到攻击者创建的计划任务，备注栏有flag：flag{zgsfsys@sec}。

第二个flag：

深入查看攻击者创建的计划任务，会定时执行脚本：C:\Users\hack6618$\Downloads\system.bat。

打开脚本，发现是把webshell写入网站目录下的404报错页面中，并打印flag：flag{888666abc}。

第三个flag：

查看启动项、服务等后门，均无收获。

部署一下网站，看下能否翻到什么。在phpStudy中启动Apache和MySQL以部署网站。

浏览器访问http://127.0.0.1/进入网站，点击“登录后台”。

尝试几个弱口令均失败，此时可询问管理员提供帐号密码，或使用官方的Z-BlogPHP密码找回工具 Z-BlogPHP（https://bbs.zblogcn.com/thread-83419.html）重置账号密码。

成功登录管理后台，然后每个地方都点一下，有点像渗透而不是应急。

最终在“用户管理”处，编辑Hacker用户，在摘要里面看到flag信息：flag{H@Ck@sec}。