一、背景

前景需要:小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。

1.攻击者的外网IP地址
2.攻击者的内网跳板IP地址
3.攻击者使用的限速软件的md5大写
4.攻击者的后门md5大写
5.攻击者留下的flag

解题:

运行桌面上”解题工具.exe”即可

相关账户密码

Administrator

zgsf@2024

由于第一次接触这种靶机,参考官方WP进行作答。

二、外网IP

将桌面上的学校放心通知word拖到在线沙箱中跑一下,

image-20240511162203388

以微步云沙箱为例:

这里显示为cs上线

ip为:8.219.200.130

image-20240511162602123

由于官方wp直接给的就是拖这个文件,我看了一下文件大小,发现我的父亲,那个word字体比学校放假通知多,但是却没学校放假通知这个文件大,所以这个可以作为一个猜测。如果不知道的话,可以都拖进沙箱试试。

三、内网IP

192.168.20.129

发现有phpstudy,直接查看apache日志,在日志中发现一个内网ip

image-20240511163025981

官方WP给的是,查看phpstudy那个bat文件路径,

f

发现文件夹隐藏在桌面中,打开设置现在隐藏文件夹。

image-20240511163347296

将bat改成记事本格式。

image-20240511163439352

也可以看到内网ip

三、软件的MD5

参考官方wp

然后是限速软件,靶场取自真实环境,真实环境中,一个普通用户怎么去劫持整个局域网网速呢??

答案:ARP劫持

用啥劫持的呢?

翻一翻C盘文件就知道了

地址

C:\PerfLogs\666\666\777\666\666\666\666\666\666\666\666\666\666\666

image-20240511163730117

在线文件MD5码校验验证工具-快速计算检测文件md5值 (md5ma.com)

文件md5在线计算-ME2在线工具 (metools.info)

去网上找个在线工具

2a5d8838bdb4d404ec632318c94adc96

用python转换一下,改成大写的

2A5D8838BDB4D404EC632318C94ADC96

image-20240511164022629

四、后门文件和flag

发现shift后门,

连按五次shift系统会运行粘滞键

位置在

C:\Windows\System32\sethc.exe

直接可以看到flag

flag{zgsf@shift666}

image-20240511170657063

image-20240511171051311

58a3ff82a1aff927809c529eb1385da1

使用python转换一下

58A3FF82A1AFF927809C529EB1385DA1

答案整理:
1.攻击者的外网IP地址:

8.219.200.130

2.攻击者的内网跳板IP地址:

192.168.20.129

3.攻击者使用的限速软件的md5大写:

2A5D8838BDB4D404EC632318C94ADC96

4.攻击者的后门md5大写:

58A3FF82A1AFF927809C529EB1385DA1

5.攻击者留下的flag:

flag{zgsf@shift666}