知攻善防-近源渗透OS-1
一、背景
前景需要:小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。
1.攻击者的外网IP地址 |
解题:
运行桌面上”解题工具.exe”即可
相关账户密码
Administrator
zgsf@2024
由于第一次接触这种靶机,参考官方WP进行作答。
二、外网IP
将桌面上的学校放心通知word拖到在线沙箱中跑一下,
以微步云沙箱为例:
这里显示为cs上线
ip为:8.219.200.130
由于官方wp直接给的就是拖这个文件,我看了一下文件大小,发现我的父亲,那个word字体比学校放假通知多,但是却没学校放假通知这个文件大,所以这个可以作为一个猜测。如果不知道的话,可以都拖进沙箱试试。
三、内网IP
192.168.20.129
发现有phpstudy,直接查看apache日志,在日志中发现一个内网ip
官方WP给的是,查看phpstudy那个bat文件路径,
发现文件夹隐藏在桌面中,打开设置现在隐藏文件夹。
将bat改成记事本格式。
也可以看到内网ip
三、软件的MD5
参考官方wp
然后是限速软件,靶场取自真实环境,真实环境中,一个普通用户怎么去劫持整个局域网网速呢??
答案:ARP劫持
用啥劫持的呢?
翻一翻C盘文件就知道了
地址
C:\PerfLogs\666\666\777\666\666\666\666\666\666\666\666\666\666\666 |
在线文件MD5码校验验证工具-快速计算检测文件md5值 (md5ma.com)
文件md5在线计算-ME2在线工具 (metools.info)
去网上找个在线工具
2a5d8838bdb4d404ec632318c94adc96
用python转换一下,改成大写的
2A5D8838BDB4D404EC632318C94ADC96
四、后门文件和flag
发现shift后门,
连按五次shift系统会运行粘滞键
位置在
C:\Windows\System32\sethc.exe |
直接可以看到flag
flag{zgsf@shift666}
58a3ff82a1aff927809c529eb1385da1
使用python转换一下
58A3FF82A1AFF927809C529EB1385DA1
答案整理:
1.攻击者的外网IP地址:
8.219.200.130
2.攻击者的内网跳板IP地址:
192.168.20.129
3.攻击者使用的限速软件的md5大写:
2A5D8838BDB4D404EC632318C94ADC96
4.攻击者的后门md5大写:
58A3FF82A1AFF927809C529EB1385DA1
5.攻击者留下的flag:
flag{zgsf@shift666}