应急响应-web3

应急响应-web3

声明！

学习靶机来自​知攻善防实验室****公众号，有兴趣的师傅可以关注一下，如涉及侵权马上删除文章

笔记只是方便各位师傅的学习和探讨，文章所提到的网站以及内容，只做学习交流，其他均与本人无关，切勿触碰法律底线，否则后果自负！！！！

‍

准备环境

靶机下载地址：https://pan.quark.cn/s/4b6dffd0c51a

VM（17.5版本以上）虚拟机下载地址：https://pan.baidu.com/s/1nIw_vCFQyKa5XTbMbpZVtA?pwd=8aej 提取码：8aej

蓝队工具箱：https://github.com/ChinaRan0/BlueTeamTools

日志分析工具：（WinLogCheck）https://github.com/Fheidt12/Windows_Log

（windodws-logs-analysis）https://github.com/dogadmin/windodws-logs-analysis

‍

题目详情

Administrator
xj@123456

‍

应急开始

开机虚拟机到达桌面，打开解题查看对应信息：

​
​

我们先打开D盾对网站进行扫描，看是否有恶意文件存在，网站的目录可以通过小皮面板(phpstudy)来查看

​
​

存在恶意文件，我们去到该目录下用记事本工具查看该文件内容

​
​

普普通通的一句话木马，但也证明了网站被攻击的行为。

我们现在去查看一下apache日志，看看木马文件是如何上传到本地的。

​
​

可以看到，在11:06:58时IP：192.168.75.129对网站发起了大量扫描，我们直接搜索一下木马文件404.php和post-safe.php文件

​
​

404.php文件在11:33:45时被成功上传。

我们一路再往下寻找，看看还有什么事件

​

/zb_system/admin/index.php?act=MemberMng是服务器的用户管理界面，而/zb_system/admin/member_edit.php?act=MemberNew则代表了新建用户，我们登陆系统去看一下该用户的情况

由于不知道密码，我们访问一下数据库，看看其密码是什么

​

​
​

我们发现，攻击者创建了一个名为Hacker的用户，我们使用该密码进入该用户查看一下信息

​
​

我们登陆一下后台，使用账户hacker，密码任意，然后利用burp抓一下数据包，并把密码改成刚刚数据库查到的密码并放包。

于是我们发现，登录不了，原因竟然是数据库存储的密码和输入密码的md5值不一致！

但是能够正常登陆，说明两者只是加密方式不同

​

​

一般情况下，需要去审计一下代码，了解加密过程然后逆推解密，不过在这个博客系统中，有个更方便的方法，那就是博客自带的一键改密码

​

​

登陆Hacker账号后发现flag{H@Ck@sec}

​

我们再去看一下登陆日志

发现有远程登陆日志，其中IP：192.168.52.1的域名显示的是MicrosoftAccount，意思是通过微软用户登陆，可以将其排除，还有IP：192.168.75.130则是通过隐藏用户hack6618进行远程登陆。

我们查看一下该用户下有什么文件

​
​

我们在用户hack6618的下载目录发现了system.bat文件，该文件的内容是将一句话木马写入到404.php文件中，并且这里还给出了第一个flag：flag{888666abc}

攻击者留下了这么一个将一句话木马写入到文件的操作，我们应该考虑到的是他会不会被放入了系统启动项，是否有被创建任务计划程序

​​

​
​

我们发现系统启动项并没有可疑文件，但是任务计划程序已经被创建了任务，并且给出了第二个flag：flag{zgsfsys@sec} ，我们去查看一下该任务做了些什么操作

​

可以看到，当任何用户登陆或者每隔1小时，该任务就会自动执行启动system.bat操作，将一句话木马写入到404.php文件。

至此，我们对攻击路径完成溯源，该靶机攻破。

​

​
​