知攻善防-Web3
一、背景
前景需要:小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。
这是他的服务器,请你找出以下内容作为通关条件:
1. 攻击者的两个IP地址 |
相关账户密码:
Windows:administrator/xj@123456
二、IP
看到了phpstduy,第一步先查看中间件日志,
在日志中找到了两个ip
192.168.75.129 |
日志分析工具中也可以看到一个ip
192.168.75.130
三、隐藏用户
cmd中输入这个命令,或者使用lusrmgr.msc也可以看到
net localgroup users |
发现隐藏用户
hack6618
四、flag
排查定时任务,
taskschd.msc |
在定时任务描述中找到第一个flag
flag{zgsfsys@sec}
继续排查,查看定时任务具体的任务,找到执行的bat路径
根据路径,找到文件,打开找到第二个flag
flag{888666abc}
第三个flag暂时没有思路,访问web页面看看有没有线索,发现是Z-Blogcms,上网搜索Z-Blog忘记密码
在这里我尝试使用登录mysql,查看用户名和密码,但是发现root账号没有权限登录,而另一个账号虽然可以登录,但是对这Z-blog这个数据库没有访问权限,所以老老实实的使用了官方给的方式。
Z-BlogPHP密码找回工具-程序发布-ZBlogger技术交流中心 (zblogcn.com)
文件解压后放到根目录下,直接访问
http://localhost/nologin.php |
选择重置密码,然后登录后台查找第三个flag
在用户管理中,看到Hacker这个账号,点击编辑,找到第三个flag
flag{H@Ck@sec}
至此答案已经全部找出
思路总结:查看web日志找到两个ip ===》 查看本地用户组,发现隐藏用户 ===》 查看定时任务找到第一个flag ===》排查第一个定时任务,查看bat文件找到第二个flag ===》 访问web页面,进入web后台找到第三个flag