知攻善防应急靶场三_前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备

前景需要：小苕在省护值守中，在灵机一动情况下把设备停掉了，甲方问：为什么要停设备？小苕说：我第六感告诉我，这机器可能被黑了。

这是他的服务器，请你找出以下内容作为通关条件：

Windows:administrator/xj@123456

攻击者的两个IP地址

隐藏用户名称

黑客遗留下的flag【3个】--考点

使用d盾扫描网站根目录，找到一句话木马

编辑

编辑

在apache的日志中寻找访问的ip地址 192.168.75.129 192.168.75.130

编辑

编辑

查看该日志上下进行了什么操作，没查到具体是怎么攻击的。

编辑

查找隐藏账户，查找隐藏账户登录记录，找到登陆的ip地址

编辑

编辑

在隐藏文件中找到写入木马的文件，找到一个flag{888666abc}

编辑

查找同一时间，修改的文件

编辑

查看网站启动了其他服务，启动的有服务器中带powershell

编辑

从上面看，是启动powershell服务，在目的服务器下载文件，然后进行执行

编辑

没写完，后面找不到flag了，

补充

1.需要登录隐藏账户去进行排查

2.排查计划任务，注册表等

3.针对网站使用的框架，最后是不是需要查看一下前端页面

1.需要登录隐藏账户去进行排查

更换隐藏账户的账号

net user hack6618$ 123@qq.com

2.排查计划任务

3.针对网站使用的框架

https://pan.baidu.com/s/1fWt4BAH9CkT6apZPXRyLhQ 提取码: n6rt

我们重置admin的账户，登录后台，找到最后一个flag