知攻善防靶机 [hvv训练]应急响应靶机训练-近源渗透OS-1

前景需要：小王从某安全大厂被优化掉后，来到了某私立小学当起了计算机老师。某一天上课的时候，发现鼠标在自己动弹，又发现除了某台电脑，其他电脑连不上网络。感觉肯定有学生捣乱，于是开启了应急。

1.攻击者的外网IP地址

2.攻击者的内网跳板IP地址

3.攻击者使用的限速软件的md5大写

4.攻击者的后门md5大写

5.攻击者留下的flag

相关账户密码 Administrator zgsf@2024

虽然说是近源的场景，但是看到有小p还是先看一手，看了下下网站目录，没有什么东西

上传D盾看一下，提示我开启了共享，这个共享应该是哪个smb共享

扫了下网站基本没有问题，上日志工具看一下日志，在登录成功的日志中看到一些匿名登录的日志，大概就是开启的共享服务的方式登录的

查看一下主机上开启的共享服务，确实有可能是通过这种方式进入的

又继续在主机上搜索一下看有没有什么可疑的东西

发现一个bat文件，这个文件被隐藏了。。。难怪在桌面上没看到

那么此IP：192.168.20.129 应该就是内网跳板机了

又翻了一阵没有什么信息，找一下有没有什么文件，突然想起桌面有很多个文档，检测一下有没有恶意的文档，刚拖到我本地准备传一下沙箱的立刻就给我检测出了。

微步分析出请求了8.219.200.130 那么这个应该就是外部IP了

看一下宏

又研究了一下发现桌面的这个小p面板修复就是链接的那个恶意的bat文件的

果然每一个看起来正常的东西都有可能是伪装的

剩下的东西确实找了半天没找到，也没有什么踪迹。

一个是那个导致局域网限速的工具是C:\PerfLogs\666\666\777\666\666\666\666\666\666\666\666\666\666\666\p2pover4.34.exe

hash 2a5d8838bdb4d404ec632318c94adc96

呃呃呃这个软件原理就是利用arp欺骗来劫持局域网内其他主机流量的。

还有个一个后门就是shift后门，按5下shift就可以弹出cmd窗口，哪怕在锁屏的情况下也可以

原因是原本的文件被替换了

hash 为 58A3FF82A1AFF927809C529EB1385DA1

这里给出了最后的flag   flag{zgsf@shift666}

他这个靶机我感觉有点乱，不是很好分析攻击链，毕竟并不知道靶机是所处的无法外联的内网环境还是可以联网的环境。

请输入攻击者的外网IP地址：8.219.200.130

请输入攻击者的内网跳板IP地址：192.168.20.129

请输入攻击者使用的限速软件的md5小写：2A5D8838BDB4D404EC632318C94ADC96

请输入攻击者的后门md5小写：58A3FF82A1AFF927809C529EB1385DA1

请输入攻击者留下的flag：flag{zgsf@shift666}