应急响应-web3

应急响应-知攻善防web3

前景需要：

小苕在省护值守中，在灵机一动情况下把设备停掉了，甲方问：为什么要停设备？小苕说：我第六感告 诉我，这机器可能被黑了。 这是他的 服务器，请你找出以下内容作为通关条件：

Windows:administrator/xj@123456

1.请输入攻击者第一个ip地址

192.168.75.129  
 
192.168.75.130 

在phpstudy里边的apache日志里找到了第一个ip：192.168.75.129

D:\phpstudy_pro\Extensions\Apache2.4.39\logs

第二个，在windows日志中查看

1. 按Windows + R键打开运行对话框，然后输入“eventvwr.msc”并回车打开事件查看器。

2. 导航到：应用程序和服务日志 > Microsoft > Windows > TerminalServices- RemoteConnectionManager，右键单击“Operational”并选择“筛选当前日志”。 筛选1149，就是远程连接的日志

2.攻击者隐藏用户名:

hack6618$ 

在c盘windows账户里找到

3.第一个flag:

flag{888666abc} 

在c盘用户hack6618$里下载中system.bat,改成system.php找到flag

4.第二个flag：

flag{zgsfsys@sec} 

更换hack6618$的密码，去该用户寻找

net user hack6618$ 123@qq.com

在任务计划程序中找到了第二个flag

5.第三个flag:

flag{H@Ck@sec}

phpstudy打开发现是公众号就没看了 ,其实应该在这个cms里

看到攻击者注册了一个账户

更改完后登录成功，用户管理找到Hacker

编辑该用户，得到最后一个flag

遇到无法上传nologin.php

在ftp上传的时候，没有搞清楚要怎么传，实际上是在靶机中利用phpstudy开启ftp服务

用户名密码自己设置，然后根目录设置在www下边进行的

访问靶机ip----ftp://ip就可以了

进到要上传文件的里边，然后在本机里下载这个nologin.zip然后解压上传进去，再到靶机里改密码 就可以成功了