知攻善防实验室 Windows 应急响应——Web 3

题目

小苕在省护值守中，在灵机一动情况下把设备停掉了，甲方问：为什么要停设备？小苕说：我第六感告诉我，这机器可能被黑了

应急响应

攻击者的 IP 地址（RDP 溯源）

分析 Windows 安全日志拿到攻击 IP

隐藏用户名称（Windows 隐藏用户）

BLA 工具一把梭哈

CTF

黑客遗留下的 3 个 flag（可疑文件查找 + 任务计划程序 + 数据库）

翻一下 hack6118$ 的家目录，找到一个名为 system.bat 的批处理文件

改个名打开拿到 flag

查看任务计划拿到第二个 flag

最后一个在数据库中