应急响应靶机 Web3 漏洞 Writeup

下载靶机：https://pan.quark.cn/s/3ca80a85d48b#/list/share

环境说明： 在省护值守中，小编在一次直觉下停掉了设备，称其”第六感”告诉他设备可能被黑。因此，甲方要求找出以下内容：

• 攻击者的两个IP地址
• 隐藏用户名称
• 攻击者留下的三个flag

启动环境： 首先，双击.ovf文件，使用Vmware导入虚拟机，然后使用Windows管理员账户（用户名：administrator，密码：xj@123456）登录系统。

解题：

1. 启动解题程序： 在桌面上找到并双击解题.exe。
2. 查找攻击者IP地址： 查看系统的Web日志和安全日志，并将安全日志和系统日志保存到桌面上以备后续分析。通过扫描D盘中的webshell文件，我们找到了两个IP地址：192.168.75.129 和 192.168.75.130。
3. 发现隐藏用户名称： 在系统中找到隐藏用户名称为hack6618$。
4. 定位攻击者留下的flag：
   • 查询数据库： 查看攻击时间范围内的数据库，我们找到了一个flag{zgsfsys@sec}。
   • 进一步查找文件： 在事件发生的时间段内，我们查找文件并找到了另一个flag{888666abc}。
   • 误解与发现： 最初，我们以为找到了三个不同的flag，但后来发现前两个flag均为相同的flag{zgsfsys@sec}。

总结： 在解决这个问题的过程中，我们成功地找到了以下信息：

• 攻击者的两个IP地址：192.168.75.129，192.168.75.130
• 攻击者隐藏用户名称：hack6618$
• 攻击者留下的三个flag：flag{zgsfsys@sec} (两个)、flag{888666abc}