知攻善防hvv模拟靶机Web3

# Web3靶机

## 情况描述

小苕在省护值守中，在灵机一动情况下把设备停掉了，甲方问：为什么要停设备？小苕说：我第六感告诉我，这机器可能被黑了。

## 通关条件

> 本虚拟机的考点不在隐藏用户以及IP地址，仔细找找吧

1. 攻击者的两个IP地址
2. 隐藏用户名
3. 黑客遗留下的3个flag

## 服务器环境

Windows

administrator/xj@123456

## 解题思路

### 分析Apache Log

打开Apache log可以看到有IP `192.168.75.129` 对网站进行admin爆破并在进入后执行cmd命令，但都失败了，所以从另一个方向开始找

### 查看隐藏用户

隐藏用户 `计算机管理-本地用户和组-用户` 找到用户名为 `hack6618$` 然后打开事件查看器可以看到攻击者的登录IP `192.168.75.130`

### 分析隐藏用户

翻找攻击者创建的用户的桌面可以发现一个system.bat，打开后可以看到是在zblog程序的一个模板404页面写上Webshell，同时找到 `flag{888666abc}` system.bat不会只执行一次的，所以答案计划任务可以看到有Attack@Flag和GetShell&flag的任务，得到第二个flag `flag{zgsfsys@sec}`

### 反向登录Zblog

由于在Apache Log中出现了

```text
192.168.75.129 - - [12/Mar/2024:11:08:36 +0800] "GET /zb_system/script/c_admin_js_add.php?hash=&172800 HTTP/1.1" 304 -
```

的admin页面的操作，所以我们需要登录Zblog进行排查，不过题目没有给我们Zblog的信息，所以我们需要使用HeidiSQL更改admin的密码后登录或者直接查看数据库，在表 `zbp_member` 中可以看到有hacker的用户名，在 `mem_Intro` 中写有 `flag{H@Ck@sec}`

## 答案

1. 隐藏用户名 `hack6618$`

2. 攻击者IP1 `192.168.75.129`

3. 攻击者IP2 `192.168.75.130`

4. flag1 `flag{888666abc}`

5. flag2 `flag{zgsfsys@sec}`

6. flag3 `flag{H@Ck@sec}`

![答案](https://download.imxbt.cn/upload/cc757b2b130531a416acd6162dd6db5c.png)

## 复盘

### Zblog存在弱口令

### Zblog含有cmd.php可以用来执行远程命令

咸鱼社

知攻善防hvv模拟靶机Web3

发表新评论