鹿梦安全知识库
鹿梦安全知识库
当前位置: 首页 > 应急响应 > 正文

[护网训练]应急响应靶机训练-web3

应急响应181 次浏览抢沙发

[护网训练]应急响应靶机训练-web3

[护网训练]原创应急响应靶机整理集合

靶机地址:https://pan.quark.cn/s/4b6dffd0c51a#/list/share
蓝队工具箱:https://github.com/ChinaRan0/BlueTeamTools

应急响应靶机——知攻善防实验室-CSDN博客

前来挑战!应急响应靶机训练-Web3

应急响应靶机训练-Web3题解

应急响应-web3_winlogcheck-CSDN博客

Windows应急响应靶机–Web3

一、挑战内容

前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。

这是他的服务器,请你找出以下内容作为通关条件:

攻击者的两个IP地址
隐藏用户名称
黑客遗留下的flag【3个】

二、解题程序

关于靶机启动

使用Vmware启动即可,如启动错误,请升级至Vmware17.5以上

靶机环境:

Windows Server 2022

phpstudy(小皮面板)

 

用户:administrator

密码:xj@123456

这个需要导入一下虚拟机,选择解压的文件就行。

三、题解答案

题目1:攻击者的两个IP地址

有小皮面板,是有网站的,把服务打开:

默认是安好VMtools的,那先上传工具看看怎么事:

D盾:

扫描网站:

小皮面板网站的目录:D:\phpstudy_pro\WWW

出来两个后门:

<“]);
?>
普普通通的一句话木马,证明被攻击了,去看看日志:

D:\phpstudy_pro\Extensions\Apache2.4.39\logs

access.log一开始大小都是0kb,懵了,然后用记事本打开access.log.1710201600日志是有的,第一个5200结尾的里面没有东西。

分析日志吧:

前面都是本地访问,然后在2024:11:06:58的时候,192.168.75.129对网站进行大量访问扫描:

直接搜木马文件404.php和post-safe.php

在日志第1206行,时间为2024:11:33:45发现192.168.75.129 GET上传404.php成功:

post-safe.php可惜没有找到

 

看看还有什么IP和可疑的行为:

换IP了:192.168.75.130

 

 

攻击者IP:192.168.75.129 192.168.75.130

题目2:隐藏用户名称

D盾检测隐藏用户:

查看远程桌面日志:

 

 

用户hack6618$在2024-03-12 11:49:11登录成功4624

2024-03-12 11:49:11 hack6618$ WIN-4K8FN05NEAI 4 Advapi WIN-4K8FN05NEAI C:\Windows\System32\svchost.exe – – 4624

隐藏用户名称:hack6618$

题目3:黑客遗留下的flag【3个】

Apache可疑日志:

/zb_system/admin/index.php?act=MemberMng是服务器的用户管理界面,而/zb_system/admin/member_edit.php?act=MemberNew则代表了新建用户:

创建用户肯定在数据库里面,赌它数据库加没加密:

下个phpmyadmin,去看看数据库里面:

root:zgsfSEC

 

 

在数据库zblog123的表zbp_member里面发现了由192.168.75.130创建的Hacker用户:

 

Hacker:12bfcd08c23e2291338aec8d1636d460

还干出来一个flag:flag{H@Ck@sec}

 

解密失败了,应该是md5加盐了 ,得代审逆向推了。

12bfcd08c23e2291338aec8d1636d460

 

百度一下看看有没有简单办法:

看一篇文章:后台忘记密码? ZBlogPHP密码重置工具_ZBlog教程_然主题

 

把nologin.php传到网站目录:

 

想偷懒的直接复制粘贴:

<?php
require ‘./zb_system/function/c_system_base.php’;
//$zbp->Load();

if (isset($_GET[‘uid’]) && isset($_GET[‘resetpw’])) {
$id = (int) $_GET[‘uid’];
$m = $zbp->GetMemberByID($id);
$m->Level = 1;
if (trim($m->Guid) == ”) {
$m->Guid = GetGuid();
}
$m->Password = Member::GetPassWordByGuid(‘12345678’, $m->Guid);
$m->Save();

unlink(__FILE__);

Redirect(‘zb_system/cmd.php?act=login’);
die;
}

if (isset($_GET[‘uid’])) {
$zbp->Load();
$zbp->LoadMembers(1);
$m = $zbp->members[$_GET[‘uid’]];
if (function_exists(‘SetLoginCookie’)) {
SetLoginCookie($m, 0);
} else {
$un = $m->Name;
$zbp->user = $m;
if ($blogversion > 131221) {
$ps = md5($m->Password . $zbp->guid);
} else {
$ps = md5($m->Password . $zbp->path);
}
setcookie(“username”, $un, 0, $zbp->cookiespath);
setcookie(“password”, $ps, 0, $zbp->cookiespath);
}

if (isset($GLOBALS[‘hooks’][‘Filter_Plugin_VerifyLogin_Succeed’])) {
foreach ($GLOBALS[‘hooks’][‘Filter_Plugin_VerifyLogin_Succeed’] as $fpname => &$fpsignal) {
$fpname();
}
}

unlink(__FILE__);

Redirect(‘zb_system/cmd.php?act=login’);
die();
}
?>
<!DOCTYPE html PUBLIC “-//W3C//DTD XHTML 1.0 Transitional//EN” “http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd”>
<html xmlns=”http://www.w3.org/1999/xhtml” xml:lang=”en”>

<head>
<meta http-equiv=”Content-Type” content=”text/html;charset = UTF-8″ />
<title>Z-BlogPHP密码重置工具</title>
<style>
* {
margin: 0;
padding: 0;
}

h1,
h2,
h3,
h4,
h5,
h6 {
font-weight: normal;
}

input,
textarea,
select,
label {
font-family: microsoft yahei;
}

ul {
list-style: none;
}

body {
font-family: microsoft yahei;
background: #f0f0f0;
}

.nologin {
width: 600px;
margin: 0 auto 0;
background: #fff;
position: fixed;
top: 50%;
right: 0;
left: 0;
min-height: 400px;
}

.loginhead {
padding: 30px 0;
color: #fff;
text-align: center;
background: #3a6ea5;
}

.loginhead h1 {
font-size: 22px;
}

.loginhead h2 {
margin-top: 10px;
font-size: 14px;
}

.loginbody {
padding: 30px;
}

.loginuser li {
padding: 20px 0;
line-height: 28px;
border-bottom: 1px dotted #eee;
}

.loginuser em {
font-size: 12px;
color: #999;
font-style: normal;
}

.loginuser label {
font-size: 14px;
color: #3a6ea5;
font-weight: bold;
}

.loginuser input {
margin-left: 20px;
float: right;
padding: 0 20px;
font-size: 14px;
color: #fff;
text-align: center;
line-height: 30px;
border: 0;
border-radius: 2px;
cursor: pointer;
background: #3a6ea5;
}

.loginmsg {
margin-top: 30px;
font-size: 12px;
color: red;
line-height: 30px;
text-align: center;
}

.loginmsg b {
color: #333;
}
</style>
<script type=”text/javascript” src=”./zb_system/script/jquery-1.8.3.min.js”></script>
<script>
$(function() {
$loginh = $(“.nologin”).height();
$(“.nologin”).css(“margin-top”, -$loginh / 2);
});
</script>
</head>

<body>
<div class=”nologin”>
<div class=”loginhead”>
<h1>Z-BlogPHP免输入密码登陆工具</h1>
<h2><?php echo ZC_BLOG_VERSION; ?></h2>
</div>
<div class=”loginbody”>
<form id=”frmLogin” method=”post”>
<div class=”loginuser”>
<ul>
<input type=”hidden” name=”userid” id=”userid” value=”0″ />
<?php
$zbp->LoadMembers(1);
$i = 0;
foreach ($zbp->members as $key => $m) {
if ($m->Level < 2) {
$i += 1;
echo ‘<li><em>[ 管理员 ]</em> <label for = “”>’ . $m->Name . ‘</label>
<input type = “button” onclick = “location.href = \’?uid=’ . $m->ID . ‘\'” value = “登录” />
<input type = “button” onclick = “location.href = \’?uid=’ . $m->ID . ‘&resetpw=1\'” value = “重置密码为12345678” />
</li>’;
}
}
if ($i == 0) {
$m = $zbp->GetMemberByID(1);
echo ‘<li><em>[ 管理员 ]</em> <label for = “”>’ . $m->Name . ‘</label>
<input type = “button” onclick = “location.href = \’?uid=’ . $m->ID . ‘\'” value = “登录” />
<input type = “button” onclick = “location.href = \’?uid=’ . $m->ID . ‘&resetpw=1\'” value = “重置密码为12345678″ />
</li>’;
}
?>
</ul>
</div>
<div class=”loginmsg”>[注意] <b>此工具非常危险,使用后请立刻通过<u>FTP删除</u>.</b></div>
</form>
</div>
</div>
</body>

</html>

 

访问:http://localhost/nologin.php

重置两个用户的密码,随便一个登录进去:

 

发现和数据库里面的一样,也是,都是通用的。

第一个:flag{H@Ck@sec}

这次才第一个flag,想一想,还有个隐藏用户hack6618, 用 管 理 员 用 户 看 看 有 没 有 好 东 西 : ( 这 里 提 醒 一 下 , 如 果 没 有 找 到 可 疑 的 木 马 或 者 f l a g , 就 要 登 录 h a c k 6618 ,用管理员用户看看有没有好东西:(这里提醒一下,如果没有找到可疑的木马或者flag,就要登录hack6618,用管理员用户看看有没有好东西:(这里提醒一下,如果没有找到可疑的木马或者flag,就要登录hack6618用户去查找,这个是可以登录的;不过这次运气好,在hack6618$用户下载里面)

C:\Users\hack6618$\Downloads

发现了system.bat,将一句话木马写入到404.php文件中

echo

<]); ?^> > D:\phpstudy_pro\WWW\zb_users\theme\aymFreeFive\template\404.php
echo flag{888666abc}

第二个:flag{888666abc}

既然写入文件了,那么考虑会不会放入了系统启动项,是否有被创建任务计划程序等等。

火绒剑找到了system.bat的计划任务:

 

在计划任务里面看一眼:

 

 

可以看到,当任何用户登陆或者每隔1小时,该任务就会自动执行启动system.bat操作,将一句话木马写入到404.php文件。

flag{H@Ck@sec}

flag{888666abc}

flag{zgsfsys@sec}

提交答案:

1.两个攻击者IP
192.168.75.129
192.168.75.130

2.隐藏用户
hack6618$

3.三个flag
flag{H@Ck@sec}
flag{888666abc}
flag{zgsfsys@sec}

原文链接:https://blog.csdn.net/jayjaydream/article/details/148680064

 

您可能还会对这些文章感兴趣!

[护网训练]应急响应靶机训练-web3:等您坐沙发呢!

发表评论

电子邮件地址不会被公开。 必填项已用 * 标注

gravatar

? razz sad evil ! smile oops grin eek shock ??? cool lol mad twisted roll wink idea arrow neutral cry mrgreen

分类

  • 最新日志
  • 热评日志
  • 随机日志

标签云

kali 信息安全工程师 安全咨询 安全工具 密码测评 应急响应 政策标准 渗透测试 漏洞通报 等级测评 软件测试 靶场 靶机 风险评估 验收测试

链接