前景需要：

小苕在省護值守中，在靈機一動情況下把設備停掉了，甲方問：為什么要停設備？小苕說：我第六感告訴我，這機器可能被黑了。這是他的服務器，請你找出以下內容作為通關條件：

1. 攻擊者的兩個IP地址

2. 隱藏用戶名稱

3. 黑客遺留下的flag【3個】

虛擬機登錄：

賬號：Administrator

密碼：xj@123456

1.攻擊者的兩個IP地址

D盾掃一下，發現已知后門

查到后門含有 404.php 查找日志（此ip是攻擊者通過上傳木馬 與自己的ip進行連接）

在該目錄下查看日志發現ip1為192.168.75.129

接下來查找另外一個遠程連接暴露的ip，存在遠程連接，查找ip

通過查看應用程序和服務日志來查詢

篩選當前日志--1149代表遠程連接成功

192.168.75.130

2.攻擊者隱藏用戶名稱

hack6618$

3.三個攻擊者留下的flag

第一個flag在任務計劃程序里面

flag{zgsfsys@sec}

第二個flag在hack6618$用戶的下載目錄下

C:\Users\hack6618$\Downloads

打開?system.bat?文件后發現是執行?寫入一句話木馬?的操作，還打印了一個flag

flag{888666abc}

第三個flag

發現是z-blog

在?Z-Blog?官網找到密碼找回工具（免密登錄）

#官網文章鏈接

https://bbs.zblogcn.com/thread-83419.html

#工具下載地址

https://update.zblogcn.com/tools/nologin.zip

下載解壓后將?nologin.php?文件放到網站根目錄下

#網站根目錄

D:\phpstudy_pro\WWW

直接訪問?nologin.php?，然后點擊重置密碼即可

賬號：admin

密碼：12345678

在?用戶管理?選項卡下發現?Hacker?用戶

點擊編輯后，在?用戶編輯?頁面的摘要中發現?flag

flag{H@Ck@sec}

Ok了

192.168.75.129

192.168.75.130

hack6618$

flag{zgsfsys@sec}

flag{888666abc}

flag{H@Ck@sec}