知攻善防靶機 [hvv訓練]應急響應靶機訓練-近源滲透OS-1

前景需要：小王從某安全大廠被優化掉后，來到了某私立小學當起了計算機老師。某一天上課的時候，發現鼠標在自己動彈，又發現除了某臺電腦，其他電腦連不上網絡。感覺肯定有學生搗亂，于是開啟了應急。

1.攻擊者的外網IP地址

2.攻擊者的內網跳板IP地址

3.攻擊者使用的限速軟件的md5大寫

4.攻擊者的后門md5大寫

5.攻擊者留下的flag

相關賬戶密碼 Administrator zgsf@2024

雖然說是近源的場景，但是看到有小p還是先看一手，看了下下網站目錄，沒有什么東西

上傳D盾看一下，提示我開啟了共享，這個共享應該是哪個smb共享

掃了下網站基本沒有問題，上日志工具看一下日志，在登錄成功的日志中看到一些匿名登錄的日志，大概就是開啟的共享服務的方式登錄的

查看一下主機上開啟的共享服務，確實有可能是通過這種方式進入的

又繼續在主機上搜索一下看有沒有什么可疑的東西

發現一個bat文件，這個文件被隱藏了。。。難怪在桌面上沒看到

那么此IP：192.168.20.129 應該就是內網跳板機了

又翻了一陣沒有什么信息，找一下有沒有什么文件，突然想起桌面有很多個文檔，檢測一下有沒有惡意的文檔，剛拖到我本地準備傳一下沙箱的立刻就給我檢測出了。

微步分析出請求了8.219.200.130 那么這個應該就是外部IP了

看一下宏

又研究了一下發現桌面的這個小p面板修復就是鏈接的那個惡意的bat文件的

果然每一個看起來正常的東西都有可能是偽裝的

剩下的東西確實找了半天沒找到，也沒有什么蹤跡。

一個是那個導致局域網限速的工具是C:\PerfLogs\666\666\777\666\666\666\666\666\666\666\666\666\666\666\p2pover4.34.exe

hash 2a5d8838bdb4d404ec632318c94adc96

呃呃呃這個軟件原理就是利用arp欺騙來劫持局域網內其他主機流量的。

還有個一個后門就是shift后門，按5下shift就可以彈出cmd窗口，哪怕在鎖屏的情況下也可以

原因是原本的文件被替換了

hash 為 58A3FF82A1AFF927809C529EB1385DA1

這里給出了最后的flag? ?flag{zgsf@shift666}

他這個靶機我感覺有點亂，不是很好分析攻擊鏈，畢竟并不知道靶機是所處的無法外聯的內網環境還是可以聯網的環境。

請輸入攻擊者的外網IP地址：8.219.200.130

請輸入攻擊者的內網跳板IP地址：192.168.20.129

請輸入攻擊者使用的限速軟件的md5小寫：2A5D8838BDB4D404EC632318C94ADC96

請輸入攻擊者的后門md5小寫：58A3FF82A1AFF927809C529EB1385DA1

請輸入攻擊者留下的flag：flag{zgsf@shift666}