知攻善防应急靶机 Windows web 3

知攻善防应急靶机：前来挑战！应急响应靶机训练-Web3

前景需要：小苕在省护值守中，在灵机一动情况下把设备停掉了，甲方问：为什么要停设备？小苕说：我第六感告诉我，这机器可能被黑了。

这是他的服务器，请你找出以下内容作为通关条件：

攻击者的两个IP地址

隐藏用户名称

黑客遗留下的flag【3个】

本虚拟机的考点不在隐藏用户以及ip地址，仔细找找把。

相关账户密码： Windows:administrator/xj@123456

登录发现桌面有很多软件，有个Spyder 用来写python代码的软件，还有个Jupyter Notebook 也是用来编程的，点进入看了下没有发现什么东西。

正常的打开小p面板启动网站服务看一看

简单翻了下根目录没有看到什么可疑的东西，直接上s盾梭一把看看

果然找到两个一句话木马后门

打开检测确实如此，是webshell后门。

检测了下apache的日志（D:\phpstudy_pro\Extensions\Apache2.4.39\logs），发现了访问网站的ip有两个192.168.75.129、192.168.75.130

其中192.168.75.129是比较明显的攻击IP

在这里之后的404.php文件就返回的状态码是200了，说明在这里上传成功了，但是并无法确定是通过网站上传的。

找一下隐藏用户，发现 hack6618$

看一下日志信息，发现这个隐藏用户曾经使用192.168.75.130登录过，那么此IP也确定为恶意IP了

顺藤摸瓜来到隐藏账户的目录，在下载下面发现了一个bat文件

拿到一个flag

flag{888666abc}

可以确定并不是通过网站上传的webshell，是通过其他方式执行的命令拿到的shell。

看了下之前的几个桌面的这几个软件Jupyter Notebook如果未授权是可以getshell的

于是又仔细看了看日志，发现这个隐藏用户的登录方式有点意思，用的ntlm，说明攻击机应该是用了impact套件或psexec之类的

但是还是没有找到哪里执行的命令导致用户被创建

继续翻一翻发现计划任务中有异常，这个计划任务就是写入webshell的任务，并且拿到第二个flag

flag{zgsfsys@sec}

呃呃呃又翻了翻没有其他踪迹了，目前是还差最后一个flag，同时并不知道隐藏账号是如何创建的。

数据库也可以翻一翻，小P面板有提示密码的

在用户的表里发现了最后一个flag

flag{H@Ck@sec}

目前靶机的要求全部拿到手了。因为是靶机，所以可能这个隐藏账户是直接创建的所以找不出什么源头了。

梳理一下

攻击者是先通过不知道的方式命令执行创建了恶意的隐藏用户，然后利用这个账号写了个计划任务，并且写了webshell到网站。再在网站上搞什么鬼的

请输入攻击者第一个ip地址:192.168.75.129

请输入攻击者第二个ip地址:192.168.75.130

请输入攻击者隐藏用户名:hack6618$

请输入第一个flag:flag{zgsfsys@sec}

请输入第二个flag:flag{888666abc}

请输入第三个flag:flag{H@Ck@sec}