Windows Server 2008近源应急OS-1

前景需要:小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。

  1. 攻击者的外网IP地址
  2. 攻击者的内网跳板IP地址
  3. 攻击者使用的限速软件的md5大写
  4. 攻击者的后门md5大写
  5. 攻击者留下的flag

一、环境配置

在网盘中下载该靶场,解压后在vm中选择【扫描虚拟机】,选择对应的文件夹打开即可

image-20240524195332592

二、攻击者的外网IP地址

这是一个被近源的主机,因此可能想到的是被钓鱼了

image-20240526160712317

作为一名老师,桌面上的学校放假通知.doc确是诱惑的一批

image-20240526162025296

在沙箱中跑一下,出来外网IP

三、攻击者的内网跳板IP地址

桌面上存在一个phpstudy 修复的bat 文件,但是其目标居然是另一个bat

image-20240526162233825

找到其位置居然啥也没有,打开如下两个选项

image-20240526162450318

查看其内容,内网IP192.168.20.129,端口801

image-20240526162521917

四、攻击者使用的限速软件的md5大写

在如下的位置

image-20240526162731280

对该工具的简述:限制别人网速

image-20240526162814273

在线网站计算给工具的MD5,后面转成大写即可

image-20240526162934033

五、攻击者的后门md5大写

这个后门本以为是文件后门,原来是五次shift 的后门

五次shfit 后门原理是替换C:\windows\system32\sethc.exe 文件,取该文件的md5大写即可

image-20240526163930460

image-20240526163955586

六、攻击者留下的flag

即五次shift 之后出现的flag

image-20240526163508759

七、解题

image-20240526164326272