应急响应-知攻善防web3

前景需要：

小苕在省护值守中，在灵机一动情况下把设备停掉了，甲方问：为什么要停设备？小苕说：我第六感告 诉我，这机器可能被黑了。 这是他的服务器，请你找出以下内容作为通关条件： Windows:administrator/xj@123456

1.请输入攻击者第一个ip地址:

192.168.75.129  

在phpstudy里边的apache日志里找到了第一个ip：192.168.75.129

D:\phpstudy_pro\Extensions\Apache2.4.39\logs

2.攻击者隐藏用户名:

hack6618$ 

在c盘windows账户里找到

第一个flag:

flag{888666abc} 

在c盘用户hack6618$里下载中system.bat,改成system.php找到的

第二个flag：

flag{zgsfsys@sec}

在任务计划程序中找到了第二个flag

第三个flag

flag{H@Ck@sec}

第三个flag藏起来了，忽略掉了，phpstudy打开发现是公众号就没看了 ，应该在这个cms里边

下载下来进行更改

可以看到攻击者注册了一个账户

更改完后登录成功，用户管理找到Hacker

编辑该用户，得到最后一个flag