1。射击场下载

官方微信订阅号收藏：https://mp.weixin.qq.com/s/7PZGTD0GXaJLYZ62k9GB4w

夸克云盘：https://pan.quark.cn/s/43a4cba5ae84

如果你不想成为夸克会员，也可以使用我上传的天翼云盘下载：https://cloud.189.cn/t/NZjEfi3InUJj（访问码：baq0）

注:

新注册的天翼云盘用户只有30GB的可用空间，而8架目标无人机的大小超过40GB。因此，请不要一次性将所有文件保存到您自己的云盘（共享文件必须先保存到您自己的云盘再下载）。相反，保存一半的文件并下载它们。下载完成后，删除云盘中的目标无人机，然后保存剩余的无人机并下载，以此类推，直到所有目标无人机下载完毕。

无人机解压后占用约160GB空间。建议为无人机预留足够的空间。

2。 Linux 目标机

2.1。 Linux紧急响应1

标题： https://mp.weixin.qq.com/s?__biz=MzkxMTUwOTY1MA==mid=2247485600idx=1sn=c81d7b89dd15d6d46a2d82aae947e846chksm=c11a 595df66dd04b53a0703a21a201f23fea10aaa3cab4267b223a2de3e436ef88f60fcb6709cur_album_id=3356995579389968384场景=189

官方解决方案：https://mp.weixin.qq.com/s?__biz=MzkxMTUwOTY1MA==mid=2247485668idx=1sn=6ec157895b01fa377408873d 63c01e8cchksm=c11a5919f66dd00f0d96411431ed1a582bcb3e493b3d718890bf9b573e37d73c373ac122dffcscene=21

目标用户名和密码：defend/defend；扎根/防御

问题及解答：小王赶紧找到小张。小王说: 张哥，我的开发服务器被黑了，请帮帮我！

2.1.1。黑客的IP地址

检查/var/log目录，发现redis日志文件存在：/var/log/redis/redis.log

尝试过滤成功连接redis的IP地址：

1grep -n 已接受/var/log/redis/redis.log

获取黑客IP地址：192.168.75.129

2.1.2。剩下的三个标志

直接在common目录下搜索flag（如果你已经解决了提问者的问题，那就是yes）：

12grep -inr 标志{ /etc/grep -inr 标志{ ~

有3 个标志：flag{kfcvme50}、flag{P@ssW0rd_redis}、flag{thisismybaby}

提交旗帜：

2.2。 Linux紧急响应2

标题：https://mp.weixin.qq.com/s?__biz=MzkxMTUwOTY1MA==mid=2247485625idx=1sn=ec58f917314da2fee442a94bce81ce9dc hksm=c11a5944f66dd0526a43531f5afdaec58e39dea79df0fbcf413269cb9d5ce54fb1fd1077176ascene=21#wechat_redirect

官方解决方案：https://mp.weixin.qq.com/s?__biz=MzkxMTUwOTY1MA==mid=2247485704idx=1sn=2fbcaae9954ac422052903b9de0343ea chksm=c11a58f5f66dd1e37953b92ad464b3794a2e8019ad30ce8d3b4342ab725dbc4399330d038cfdscene=21#wechat_redirect

目标机用户名和密码：root/Inch@957821。

官方目标无人机用户名和密码无效。建议进入recovery模式重置密码：https://www.linuxidc.com/Linux/2014-10/107689.htm

:前景需要的问题及解决方案：在观看监控时，发现有webshell报警，领导让你去电脑上看看能不能救安福哉！

2.2.1。攻击者IP

/var/log 目录中未找到通用中间件日志：

但在根目录下发现了一个www目录，说明系统已经安装了宝塔面板（bt默认安装在/www/下）。尝试使用bt命令更改宝塔面板密码：

成功登录宝塔面板：

查看网站日志，使用“日志安全分析”功能统计排名靠前的IP：

获取攻击者IP：192.168.20.1

其实对于这个问题，也可以直接使用命令行过滤宝塔日志目录/www/wwwlogs/下的所有日志文件，获取攻击者的IP：

1cat /www/wwwlogs/*.log | 1cat /www/wwwlogs/*.log | awk '{print $1}' |排序|优衣库-c

2.2.2。攻击者修改管理员密码（纯文本）

进入宝塔站点配置页面，将目标机器IP添加到域名列表中，即可访问该站点：

由于您不知道网站的用户名和密码，因此需要进入后台数据库查看网站的用户名和密码。

在宝塔的数据库菜单中获取kaoshi数据库的连接信息：

连接数据库的命令行：

1mysql-ukaoshi-p5Sx8mK5ieyLPb84m

切换到kaoshi数据库：

12显示数据库；使用kaoshi；

查看用户相关表：

1显示类似“%user%”的表；

第二个表x2_user应该存储网站的所有用户和密码。尝试打印表格：

1从x2_user中选择*；

输出格式特别乱。可以使用\G 垂直显示结果： select * from x2_user\G;

或者只打印用户名和密码字段。首先看表结构：

1desc x2_用户；

可以看到用户名和密码字段分别是username和userpassword，所以可以只打印这两个字段：

1从x2_user中选择用户名、用户密码；

可以看到有一个名为peadmin的用户，但是密码不是明文，需要解密。您可以直接将密文复制到搜索引擎进行搜索，或者使用特殊的哈希来解密网站并恢复：

https://www.tool.cab/decrypt/md5.html

https://www.somd5.com/

明文为：Network@2020

2.2.3。第一个Webshell连接URL

http://xxx.xxx.xxx.xx/abcdefg?abcdefg 只需提交abcdefg?abcdefg

直接在宝塔目录下搜索webshell：

1grep -irn '@eval(' /www

可以在文件路径中看到关键字content/tpls/master/blocks_modify.html，对应后台页面“内容”部分下的“标签管理”功能：

在“标签管理”功能中打开id为1的标签，可以看到标签内容中有一个webshell：

该标签对应的位置是“注册页面”，因此“注册页面”的url就是webshell的url，即http://10.0.6.150/index.php?user-app-register：

2.2.4。 Webshell连接密码

上一题已经获取了webshell的连接密码，为Network2020。

您也可以尝试使用中国蚁剑连接webshell：

2.2.5。数据包Flag1

数据包位于/root目录下。使用scp命令下载到本地：

使用Wireshark分析，首先过滤http get请求：

看到/flag1 被请求，尝试跟踪TCP 流来获取请求的响应：

获取flag1：flag1{Network@_2020_Hack}

2.2.6。攻击者稍后上传的木马文件名称

过滤post请求，可以发现只请求了2个文件，分别是index.php和version2.php：

将这两个文件依次提交给评分程序，发现只有version2.php可以通过，因此攻击者上传的木马文件名称为version2.php。

其实index.php的post请求可以通过溯流恢复为纯文本，而纯文本的特征就是《蚂蚁剑》。后续步骤应该是通过Ant Sword编写一个新的webshell文件version2.php，然后使用新的webshell管理工具（Ice Scorpion）连接version2.php。

2.2.7。 Flag2被攻击者隐藏

在相关目录中搜索flag2：

1grep -inr flag2 /www

获取flag2：flag{bL5Frin6JVwVw7tJBdqXlHCMVpAenXI9In9}

2.2.8。 Flag3被攻击者隐藏

在相关目录中搜索flag3：

1grep -inr flag3 ~

获取flag3: 标志{5LourqoFt5d2zyOVUoVPJbOmeVmoKgcy6OZ}

提交旗帜：

3。 Windows 目标机

3.1。近源攻击

标题: https://mp.weixin.qq.com/s?__biz=MzkxMTUwOTY1MA==mid=2247487319idx=2sn=0fb7016d57c3714d2bb42e47cbc3173fc hksm=c11a5eaaf66dd7bcc95a1a694b03ab60260b98972a6d2c36247b0a4a521f230f2b7f3d0ca20bscene=21#wechat_redirect

官方解决方案：https://mp.weixin.qq.com/s?__biz=MzkxMTUwOTY1MA==mid=2247487319idx=1sn=064cf300fe681e4e536bd6f78d31e8ee chksm=c11a5eaaf66dd7bca965a051b53ea424d3451200c737ccde1aa06a5a676ccd627572cc13534dscene=21#wechat_redirect

目标无人机用户名/密码：Administrator/zgsf@2024

问题及解答: 小王被一家大型保安公司淘汰后，来到一所私立小学，成为一名电脑老师。有一天上课，我发现鼠标自己动了，除了某台电脑外，其他电脑都无法上网。感觉肯定是有学生闹事，于是启动了紧急响应。

3.1.1。攻击者的外部IP地址

启动小皮面板，apache日志目录下找不到access.log日志文件。攻击者可能不是通过http访问的目标机器，所以需要在其他地方找到攻击者的外部IP地址。

桌面上有4个office文件。推测其中可能存在宏病毒。将4个文件打包上传到微步云沙箱进行分析：

分析结果：https://s.threatbook.com/report/file/146fdf4ce06a1470e48a6d8c490a8e296de12f7fddfb9a55f9ceacb856bea523

获取攻击者的外部IP：8.219.200.130

3.1.2。攻击者内网跳板IP地址

桌面上有一个名为“phpStudy - Repair”的批处理文件，但图片上有一个带有快捷方式的小箭头。当您右键单击打开文件位置时，它显示为空白：

尝试打开显示隐藏文件：

查看显示的test.bat文件：

获取攻击者内网跳板IP地址：192.168.20.129

3.1.3。攻击者使用的限速软件MD5大写

在C盘根目录下的各个目录中搜索*.exe，分析是否有可疑的exe文件。

在c:\PerfLogs目录中搜索p2pover4.34.exe文件：

经搜索，p2pover是P2P终结者，针对局域网用户的带宽控制程序：https://appnee.com/p2pover/

将此程序转换为md5值：2A5D8838BDB4D404EC632318C94ADC96

3.1.4。攻击者后门md5大写

和上个问题一样，在C盘根目录下的各个目录中搜索*.exe，分析是否有可疑的exe文件。

其中，在C:\Windows\System32目录下发现了一个用python编写的exe文件：sethc.exe，非常可疑。可以猜测，这是一个粘滞键后门（本质上是将注销界面中可以调出的应用程序切换为cmd）：

尝试连续按五次shift键，成功调用cmd：

使用哈希工具计算后门程序: 58A3FF82A1AFF927809C529EB1385DA1的MD5值

3.1.5。攻击者留下的标志

上一题粘滞键弹出的cmd窗口已经显示了flag：flag{zgsf@shift666}

提交旗帜：

3.2。挖矿事件

标题：https://mp.weixin.qq.com/s?__biz=MzkxMTUwOTY1MA==mid=2247487458idx=1sn=4b9ec1450f0634e16de69af88e0a8fadc hksm=c11a5e1ff66dd709d6afd9c7026abd781d07ca7f8dbdc001984aa788dfe1fd40d40d285d9f3fscene=21#wechat_redirect

官方解决方案：https://mp.weixin.qq.com/s?__biz=MzkxMTUwOTY1MA==mid=2247487690idx=1sn=c4f26ba7807af51c18d8899726081937 chksm=c11a4137f66dc8212b3fb72eb47a6546a67c3a3460d4bd6e49a76e23c4341fb1df3d12ea6dc7scene=21#wechat_redirect

目标无人机用户名/密码: Administrator/zgsf@123

问题及解决办法:机房运维工小陈发现下班后还有工作要做，机器越用越卡。请帮他找出原因。

3.2.1。攻击者的IP地址

netstat /ano 查看本地端口运行状态，发现3389端口的RDP服务正在运行。因此，可以猜测攻击者是通过爆破RDP进入系统的。

您可以按Win+R，输入eventvwr.msc，打开事件查看器，过滤安全日志中的登录失败记录（事件ID为4625），找到攻击者的IP地址：

不过这种方法比较麻烦。推荐使用WindowsLog_Check或者windows日志一键分析小工具，快速分析登录日志，获取攻击者的IP地址：

WindowsLog_Check: https://github.com/Fheidt12/Windows_Log

Windows日志一键分析小工具: https://github.com/dogadmin/windodws-logs-analysis

综上可知，IP地址192.168.115.131多次以Administrator身份登录系统失败，与爆破特征相符。因此，攻击者的IP地址为：192.168.115.131。

3.2.2 攻击者开始攻击的时间

攻击者开始攻击的时间就是RDP爆破开始的时间。上一个问题已被过滤掉：2024-05-21 20:25:22

3.2.3 被攻击者攻击的端口

事件日志中的Logon Type 3表示网络登录，即RDP登录，RDP默认端口为3389。

3.2.4 md5挖矿程序

打开任务管理器，发现有一个名为XMRig miner的进程几乎占用了100%的CPU资源：

经过搜索，发现XMRig是一款开源挖矿软件：https://xmrig.com/docs/miner

右键打开程序所在位置，使用工具计算程序的md5值：

获取挖矿程序的md5：6D68D914CE545056F383C47A444CEAF8

注意:解题程序中的md5为A79D49F425F95E70DDF0C68C18ABC564。这是因为系统每次开机都会重新下载最新版本的挖矿软件，所以md5值会不同。

后门脚本3.2.5 md5

系统开机时，会自动弹出CMD窗口，运行powershell命令: