webserver提交攻击者使用的攻击IP地址攻击者的ip存在日志立马我们去cat /var/log里面打开对应文件进行查看发现一个192.168.31.240上传一个shell.php和a.php攻击者就算这个ip了打开a.php大学是一句话木马11攻击者进行暴力破解开始时间看看日志以及root日志都没什么有用内容去docker内部看看查看phpmyadmin的日志docker logs 6801最早时间为2025:03:05:586. 提交攻击者留下的flag3这一个到处找找因为之前上传文件到html里面了我们去看看这些文件有什么发现index.php里面存在数据库和密码然后登录数据库看看内容与订单有关的数据库是ecommerce_order_systembase64解密发现flag8.提交攻击者留下的webshell-1 密码cat /var/log/nginx/access.log.1不是a.php,测试一下shell.php发现是hack9. 提交攻击者开放端口之前存在两个攻击ip 192.168.31.240 和 192.168.31.11通过简历.exe(192.168.31.11)得到一个端口8084再去看看websrver的Netstat -ano或者ss -anupt发现端口1133对应的进程为clean.sh容器主动向外连攻击者机器 192.168.31.11 的 1133 端口是反向连接反弹 shell对应题目里攻击者 IP2192.168.31.1110. 提交攻击者留下的webshell-2密码就在webserver 的docker/var/www/html的a.php中。在日志中有记载他有上传PC1 win72. 提交攻击者使用的攻击IP地址2查看其他系统发现一个简历丢到沙箱里面分析一下发现是个恶意程序192.168.31.11攻击的7. 提交钓鱼文件的哈希32位大写应该就是这个简历.exe看看md5:2977cdab8f3ee5efddae61ad9f6cf20312.溯源邮箱逆向简历.exe 找到用户名n0k4u电脑上没有发现其它有个这个的信息上github上搜发现用户存在并且他提供了一个项目里面给出了一个密语是QQ号13题答案。我们继续按照github的接口拿到他的邮箱https://api.github.com/users/n0k4u/邮箱n0k4u n0k4uoutlook.com有两种方法https:// api .github.com/users/name/events/public或者点击commits选择其中一个提交记录在跳转的URL后加上.patch13.QQ号加好友时会发现它的签名应该是就有flag方法见上题信息。Palu加好友问题直接给了flagPc24.提交攻击者留下的flag1taskschd.msc方法 1用运行命令最快按下键盘上的 Win R在弹出的框里输入plaintexttaskschd.msc按回车直接打开「任务计划程序」方法 2从控制面板打开打开「控制面板」→「系统和安全」→「管理工具」找到并双击「任务计划程序」5.提交攻击者留下的flag211. 隐藏账户的密码Wmic useraccount get name,SID查看所有用户取证哈希提取工具或者1. 打开「计算机管理」按下 Win R输入 compmgmt.msc 回车直接打开。左侧导航栏里依次展开系统工具 → 本地用户和组 → 用户2. 查看用户列表你会看到所有本地用户包括Administrator管理员Guest来宾zjl题目里给的用户还有这个 system$500内置administrator账户501Guest账户502-504特殊系统账户用户创建账户从1000开始递增分配重点用户名结尾带 $ 的用户是 Windows 里的隐藏用户普通登录界面不会显示但在「计算机管理」里能看到这就是攻击者留的后门账号。用msf的方式。启动一个192.168.87.x 网段的kali利用msfvenom生成一个windows木马上传到windows中令其上线直接读取其NTLM值进行解密dbae99beb48fd9132e1cf77f4c746979 得到wmx_love