文章总结： 本文详述Windows应急响应靶机解题流程。通过SSH连接靶机，分析Apache日志定位攻击者IP，排查发现隐藏账户，利用schtasks分析计划任务获取Flag，提取MySQL数据文件解密Z-Blog密码并查询数据库获取最终Flag。涵盖日志分析、用户排查、计划任务审计及数据库取证。 综合评分： 91 文章分类： 应急响应,CTF,WEB安全,实战经验

---

灵境 知攻善防Windows-Web3应急响应靶机WP

Sec铁匠铺

2025年12月31日 09:00 云南

414a:

知攻善防Windows-Web3应急响应靶机，全网首个ssh解题法

以下文章来源于鸽子洞安全实验室 ，作者咕咕咕zero0

鸽子洞安全实验室 .

一只白帽鸽的漏洞研究巢穴。🕳️专注深耕：渗透靶场实战 | 漏洞复现 | 红队工具|护网。我们挖掘、剖析、沉淀，让每一个“洞”都有回响。欢迎来到鸽子洞。

👇👇👇灵境公众号👇👇👇****

👆👆👆

---

靶场项目访问地址

https://github.com/414aaj/LingJing

网盘下载地址

夸克：

https://pan.quark.cn/s/e6f3a48329fb

百度：

https://pan.baidu.com/s/14mjUdqHhoSEfVqe2h9VqoQ?pwd=cz94

---

靶机入口

灵境平台靶机描述👇

⚠️灵境平台版本>=0.4.5;⚠️Linux物理机旧版本平台直接更新后需要从最新安装中替换LingJing_linux_amd64/resources/Lemus/linuxAmd64Lemu/share
⚠️注意Windows物理机不能使用3389远程连接靶机，因为QEMU的一些限制导致该靶机无法在Windows物理机上使用3389连接，一连接靶机就会死掉Windows物理机使用ssh 22端口进行连接(账号密码同3389远程账号密码)
远程桌面端口：3389账号：Administrator   密码：2025@LingJing
⚠️连接靶机后运行桌面上的题解程序获取应急响应排查目标

靶机IP：192.168.242.23

题目介绍：

情景模拟：深夜省护值守的”第六感”事件

时间：2024年3月12日 凌晨2:17

地点：某省电子政务外网监控大厅

人物：值班安全员414a、应急响应负责人3had0w

注意Windows物理机不能使用3389远程连接靶机，因为QEMU的一些限制导致该靶机无法在Windows物理机上使用3389连接，一连接靶机就会死掉

Windows物理机使用ssh 22端口进行连接(账号密码同3389远程账号密码)

复现：

由于我们的环境不能3389连接就这代表着我们的桌面访问已经死了

我们下载xshell软件和Xftp软件

具体从官网下载这里就不多赘述了

在Xshell上面输入靶机IP：192.168.242.23

远程桌面端口：3389

账号：Administrator   密码：2025@LingJing

回车

输入用户名和密码

连接成功

下载好XFTP之后点击下图箭头所示的位置

可以打开FTP

第一步找到题解.exe文件

在/C:/Users/Administrator/Desktop  目录下

可以双击打开它或者放到你的本机上面

打开之后显示

这就是我们要在这个靶机上面需要找到的东西

第一步我们先找攻击者的IP 这里有两个IP

我们找到所在的目录查看日志

/D:/phpstudy_pro/Extensions/Apache2.4.39/logs

打开一看看到两个可疑的IP：

192.168.75.129、192.168.75.130

OK，第一关我们已经解出来了

接下来看到第二关

找到攻击者隐藏用户名称

我们访问一下目录

/C:/Users

看到有一个可疑的用户名hack6618$

OK，第二关也秒了

第三关有三个flag在靶机里面

第一个：我们先重置一下可疑用户的密码方便我们操作

net user hack6618$ [email protected]

我们用下面这个命令查找计划任务里面的可疑任务

schtasks /query /v /fo list > C:\123321.txt

可以看到在/C:/下面生成了一个123321.txt文本

我们打开查看发现hack6618$要运行的路径是：

C:\Users\hack6618$\Downloads\system.bat

第一个flag：

flag{zgsfsys@sec}

接下来我们寻找第二关flag。

找到路径C:\Users\hack6618$\Downloads下面的system.bat文件查看

可以看到第二关flag：

flag{888666abc}

接下来寻找第三个flag

我们要先确定Z-Blog的登录密码

正常来讲我们可以通过桌面来访问phpstudy来查找但是现在我们只能找路径来查看

访问下面这个路径：

/D:/phpstudy_pro/Extensions/MySQL5.7.26/data/mysql

找到user.MYD文件010打开

F03E3257A4D0A8C403DBEB94BF35328D73DBE396

这是一个SHA-1的加密我们可以扔进 https://www.cmd5.com/

在线解密但是

奶奶个熊的，真TM烦，要充值，这个平台最低要充值100，找了半天的解密网站只有这个可以，其他的全不行，我找人帮我解了一下密码

zgsfSEC

现在我们返回Xshell界面并移动到

D:\phpstudy_pro\Extensions\MySQL5.7.26\bin

文件夹下并输入mysql -V 启动

我们输入下面命令找到flag

先启动mysql

mysql -uroot -pzgsfSEC

依次输入下面的命令

Show databases;use zblog123show tables;desc zbp_member;select * from zbp_member\G;

可以看到第三个flag已经出来了

flag{H@Ck@sec}

接下来输入三个flag

flag{zgsfsys@sec}flag{888666abc}flag{H@Ck@sec}

成功解出该靶机。

---

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Sec铁匠铺 《灵境 知攻善防Windows-Web3应急响应靶机WP》