知工善防靶机-应急响应靶机练习-近源OS1

应急响应靶机联系-近源OS1

  1. 攻击者的外网IP地址
  2. 攻击者的内网跳板IP地址
  3. 攻击者使用的限速软件的md5大写
  4. 攻击者的后门的md5大写
  5. 攻击者留下的img

小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。
** 账户:administrator 密码:zgsf@2024**

首先还是准备一下环境

  1. 打开显示隐藏信息以及文件后缀
  2. 如果可以的化,安装一个vm-tool
  3. 先收集一下基础的信息

开启隐藏信息

  1. 隐藏文件
    唤出”Windows 资源管理器”程序窗口,如图所示。点击键盘”Alt”键,用于打开程序菜单栏。点击工具栏,打开“显示隐藏文件”


2.解决文件与物理机传递问题

在靶机上开启共享文件夹,共享C盘

查看虚拟机IP后,使用\+ip的形式访问共享文件夹

1
\\192.168.20.192

  1. 攻击者的外网IP

我在查看小皮的log,暂时没发现太多异常,包括www目录下,也还正常,目前就只能从桌面上的.link隐藏文件夹以及桌面上这些看起来”正常”的doc文件下手

微步在线云沙箱https://s.threatbook.com


flag: 8.219.200.130

2. 攻击者的内网跳板IP地址

打开隐藏信息显示后,link文件夹就在桌面,里面有一个bat文件

flag: 192.168.20.129

3. 攻击者使用的限速软件的md5大写

这个flag是我无聊,看到有个666,翻了半天,居然找到答案了,不愧是套娃🫡


flag: 2A5D8838BDB4D404EC632318C94ADC96

4. 攻击者的后门的md5大写

在小皮面板的 WWW目录下有个l.php,结果发现不对,后面又找到admin 目录之类的,我以为是666我错过了什么,发现也不是,后面发现在windows目录下的system32,里面有一个py写的exe文件