[应急响应]Windows Server 2008近源应急OS-1

原创链接
题解

题目

前景需要：小王从某安全大厂被优化掉后，来到了某私立小学当起了计算机老师。某一天上课的时候，发现鼠标在自己动弹，又发现除了某台电脑，其他电脑连不上网络。感觉肯定有学生捣乱，于是开启了应急。

1.攻击者的外网IP地址

2.攻击者的内网跳板IP地址

3.攻击者使用的限速软件的md5大写

4.攻击者的后门md5大写

5.攻击者留下的flag

解题：运行桌面上“解题工具.exe”

环境配置

扫描虚拟机

攻击者的外网IP地址

桌面上有一个文件，“学校放假通知-练习.doc”，把这个文件放到沙箱（沙箱会为待执行的程序提供了一个独立的执行环境）里，就会出现相关的信息。这里使用的是微步的云沙箱。

可以看到IP地址：8.219.200.130。

攻击者的内网跳板IP地址

桌面上有一个“phpStudy-修复”文件，查看其属性

是bat文件，我们到文件夹选项里把显示隐藏打开就可以了

文件夹选项的位置在：开始-> 控制面板->外观->文件夹选项
开启之后，桌面上出现一个“link”文件夹，打开后里面有test.bat文件，对其编辑

IP地址：192.168.20.129

攻击者使用的限速软件的md5大写

然后是限速软件，靶场取自真实环境，真实环境中，一个普通用户怎么去劫持整个局域网网速呢？？
答案：ARP劫持
用啥劫持的呢？
翻一翻C盘文件就知道了

然后把这个文件放到文件MD5码校验工具上

小写转为大写：2A5D8838BDB4D404EC632318C94ADC96

攻击者的后门md5大写

这里是shift后门，连按5次shift系统会运行粘滞键
位置:C:\Windows\System32\sethc.exe

然后计算其MD5值，转为大写：58A3FF82A1AFF927809C529EB1385DA1

攻击者留下的flag

flag:flag{zgsf@shift666}