一、背景

前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。

这是他的服务器,请你找出以下内容作为通关条件:

1. 攻击者的两个IP地址
2. 隐藏用户名称
3. 黑客遗留下的flag【3个】

相关账户密码:

Windows:administrator/xj@123456

image-20240503134434043

二、IP

看到了phpstduy,第一步先查看中间件日志,

在日志中找到了两个ip

192.168.75.129

192.168.75.130

image-20240503134601244

日志分析工具中也可以看到一个ip

192.168.75.130

image-20240503135305702

三、隐藏用户

cmd中输入这个命令,或者使用lusrmgr.msc也可以看到

net localgroup users

发现隐藏用户

hack6618

image-20240503134906587

四、flag

排查定时任务,

taskschd.msc

在定时任务描述中找到第一个flag

flag{zgsfsys@sec}

image-20240503135617974

继续排查,查看定时任务具体的任务,找到执行的bat路径

image-20240503135732811

根据路径,找到文件,打开找到第二个flag

flag{888666abc}

image-20240503135903521

第三个flag暂时没有思路,访问web页面看看有没有线索,发现是Z-Blogcms,上网搜索Z-Blog忘记密码

在这里我尝试使用登录mysql,查看用户名和密码,但是发现root账号没有权限登录,而另一个账号虽然可以登录,但是对这Z-blog这个数据库没有访问权限,所以老老实实的使用了官方给的方式。

Z-BlogPHP密码找回工具-程序发布-ZBlogger技术交流中心 (zblogcn.com)

image-20240503150344435

文件解压后放到根目录下,直接访问

http://localhost/nologin.php

选择重置密码,然后登录后台查找第三个flag

image-20240503143705635

在用户管理中,看到Hacker这个账号,点击编辑,找到第三个flag

flag{H@Ck@sec}

image-20240503144134395

至此答案已经全部找出

image-20240503145421078

思路总结:查看web日志找到两个ip ===》 查看本地用户组,发现隐藏用户 ===》 查看定时任务找到第一个flag ===》排查第一个定时任务,查看bat文件找到第二个flag ===》 访问web页面,进入web后台找到第三个flag