知攻善防靶机应急响应web3

挑战内容

前景需要：小苕在省护值守中，在灵机一动情况下把设备停掉了，甲方问：为什么要停设备？小苕说：我第六感告诉我，这机器可能被黑了。

这是他的服务器，请你找出以下内容作为通关条件：

1. 攻击者的两个IP地址

2. 隐藏用户名称

3. 黑客遗留下的flag【3个】

本虚拟机的考点不在隐藏用户以及ip地址，仔细找找把。

步骤

1. 攻击者的两个IP地址

2. 隐藏用户名称

3. 黑客遗留下的flag【3个】

这里发现了这个提示不在隐藏用户和ip。但是我们还是先按照老规矩看看有无shell文件。

这里发现了两个。都是简单的一句话木马。发现了后门，现在去看看apache和其他的日志，找到咋上传的

看了几个日志发现没有什么异常情况。接下来去找用户。发现并没有直接隐藏。直接看到了、

成功找到登录ip

这边看了进程和服务没有发现异常。这三个flag我就不清楚是啥了。这边又去看了浏览器下载记录。反过来我其实还没有懂得怎么把这个传上去的。这里又认真的去看了一下apache的日志。（发现总感觉怪怪的但是始终没有思路，所以就去看了一下题解的思路）

这里发现一直这里有请求一个东西，然后拿到web上去复现一下是什么。发现

后面请求变了说明登录上去了。后续可能会需要登录上去看看有无异常的。

这里看到题解我发现我忽略了一个问题没有排查计划任务列表、看到提示需要更换然后更换hack6618$的密码，去该用户寻找蛛丝马迹

 net user hack6618$ 123@qq.com

登录后一下子就发现不对劲了

最后一个flag在z—blog里面还要登录到hacker账户进行操作，这里就不演示了

总结

这一关引入flag有点像ctf了，但是这次当中我知道先利用admin账户修改密码然后可以可以切换账户，然后还有计划任务这一项居然忽略了。