应急响应靶机训练-Web3

基本介绍

本靶机是应急响应靶机训练的WEB系列中的第三个靶场，你需要通过应急分析排查解决一下问题：

1. 攻击者的两个IP地址
2. 攻击者隐藏用户名称
3. 三个攻击者留下的flag

环境构建

下载靶机并使用VMware Workstation打开：

账号密码：

用户:administrator
密码:xj@123456

靶场题目

运行桌面的"解题"程序后会出现如下界面：

题目内容如下：

1.攻击者的两个IP地址
2.攻击者隐藏用户名称
3.三个攻击者留下的flag

解题过程

第一问答

靶机的第一个问题是"攻击者的两个IP地址"，我们首先上传D盾对web目录进行一个查杀扫描：

随后直接查看对应的Apache日志检索定位IP地址信息——192.168.75.129

在这里我们检索第二个文件的时候并未检索到对应的记录信息，日志中有另外一个IP地址——192.168.75.130，随意判端是此IP地址

第二问答

靶机的第二个问题是"攻击者隐藏用户名称"，我们这里直接使用D盾可以检测到对应的隐藏账号——hack6618$

第三问答

靶机的第三个问题是"三个攻击者留下的flag"，关于这一个问题，我们在查看计划任务的时候发现第一个flag——flag{zgsfsys@sec}

从上面的计划任务中我们看到有一个标注着Attack&Flag的计划任务项，我们查看该计划任务项，可以看到这里执行了一个bat批处理文件

随后我们定位到该bat文件并打开，随后获取到第二个flag——flag{888666abc}

第三个flag有点难找，翻了很久都没有翻到，所以最后将目标投放到WEB中，随后启动phpstudy进行web端的检索：

随后发现后端使用的是Z-BlogPHP框架，用户admin，随后对admin账号进行猜解无果

随后百度查询"Z-blog忘记密码"

发现官方提供的"nologin"工具：

随后我们上次nologin.php到服务器端并进行访问：

在这里我们直接选择登录，随后在检索查看后台的时候发现第三个flag：

文末小结

本篇文章我们主要介绍了应急响应靶场系列的WEB3，通过这一个靶场我们主要学到的点有通过D盾查杀webshell，通过Apache日志分析定位攻击者IP地址，通过查看计划任务检索关键的残留后门文件等内容~