admin管理员组文章数量:1487745
应急靶场(4):Windows Server 2019
下载好靶场(前来挑战!应急响应靶机训练-Web3)并搭建好环境,使用帐号密码(administrator / xj@123456)登录靶机。
一、攻击者的两个IP地址
打开phpStudy目录,查看中间件日志情况,Nginx无日志,Apache有日志。
打开Apache日志随便一翻,就能看到192.168.75.129存在大量响应异常的访问记录,疑似攻击者的IP地址。
使用命令compmgmt.msc打开计算机管理,在系统工具->事件查看器->Windows日志->安全下,点击筛选当前日志,筛选事件ID是4625的登录失败发现,发现192.168.75.130存在登录失败行为,但是登录失败并不连续,不像是爆破更像是输错密码,因此不太好判断是攻击者的IP地址。
二、隐藏用户名称
使用命令compmgmt.msc打开计算机管理,在系统工具->本地用户和组->用户下,发现以
三、黑客遗留下的flag【3个】
第一个flag:
使用命令compmgmt.msc打开计算机管理,在系统工具->任务计划程序->任务计划程序库 下,看到攻击者创建的计划任务,备注栏有flag:flag{zgsfsys@sec}。
第二个flag:
深入查看攻击者创建的计划任务,会定时执行脚本:C:\Users\hack6618$\Downloads\system.bat。
打开脚本,发现是把webshell写入网站目录下的404报错页面中,并打印flag:flag{888666abc}。
第三个flag:
查看启动项、服务等后门,均无收获。
部署一下网站,看下能否翻到什么。在phpStudy中启动Apache和MySQL以部署网站。
浏览器访问http://127.0.0.1/进入网站,点击“登录后台”。
尝试几个弱口令均失败,此时可询问管理员提供帐号密码,或使用官方的Z-BlogPHP密码找回工具 Z-BlogPHP(.html)重置账号密码。
成功登录管理后台,然后每个地方都点一下,有点像渗透而不是应急。
最终在“用户管理”处,编辑Hacker用户,在摘要里面看到flag信息:flag{H@Ck@sec}。
本文标签: 应急靶场(4)Windows Server 2019
版权声明:本文标题:应急靶场(4):Windows Server 2019 内容由网友自发贡献,该文观点仅代表作者本人, 转载请联系作者并注明出处:http://www.betaflare.com/shuma/1754851516a3180392.html, 本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌抄袭侵权/违法违规的内容,一经查实,本站将立刻删除。
发表评论