简介

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
服务器场景操作系统 Windows
服务器账号密码 administrator xj@123456
题目来源公众号 知攻善防实验室
https://mp.weixin.qq.com/s/89IS3jPePjBHFKPXnGmKfA
任务环境说明
注:样本请勿在本地运行!!!样本请勿在本地运行!!!样本请勿在本地运行!!!
应急响应工程师小王某人收到安全设备告警服务器被植入恶意文件,请上机排查
开放题目
漏洞修复
参考
https://mp.weixin.qq.com/s/1gebC1OkDgtz4k4YtN10d

1.通过本地 PC RDP到服务器并且找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交;
2.通过本地 PC RDP到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;
3.通过本地 PC RDP到服务器并且分析黑客的隐藏账户名称,将黑客隐藏账户名称作为 FLAG 提交;
4.通过本地 PC RDP到服务器并且分析黑客的挖矿程序的矿池域名,将黑客挖矿程序的矿池域名称作为(仅域名)FLAG 提交;

1.通过本地 PC RDP到服务器并且找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交;

通过phpstudy找到网站目录

image-20240428153724429

image-20240428153741592

使用D盾扫一下

image-20240430210215471

image-20240430210236594

答案:flag{rebeyond}

2.通过本地 PC RDP到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;

image-20240428154531856

看到是192.168.126.1访问了shell.php

image-20240430210601228

答案:flag{192.168.126.1}

3.通过本地 PC RDP到服务器并且分析黑客的隐藏账户名称,将黑客隐藏账户名称作为 FLAG 提交;

查看所有用户发现有一个用户hacker1238

image-20240428154425796

查看远程登录日志和历史新增用户日志发现是hack168

image-20240430212114125

image-20240430212146275

答案:flag{hacker138} 平台的正确答案是hacker138 靶机里面的正确答案是hack168

4.通过本地 PC RDP到服务器并且分析黑客的挖矿程序的矿池域名,将黑客挖矿程序的矿池域名称作为(仅域名)FLAG 提交;

在新增用户的桌面里面找到一个程序

image-20240430212700194

运行之后CPU和内存飘红,判断是挖矿程序

image-20240430213129710

通过反编译得到源码

image-20240430213708400

image-20240430213654761

答案:flag{wakuang.zhigongshanfang.top}