应急靶场(1):Win2008R2近源应急响应
下载好靶场([hvv训练]应急响应靶机训练-近源渗透OS-1)并搭建好环境,在自己的电脑上使用命令mstsc进入远程桌面连接,输入靶机的IP地址和帐号密码(Administrator / zgsf@2024)进入靶机。
一、攻击者的外网IP地址
使用命令netstat -nao,未发现与外网IP地址有关的网络连接。
使用命令compmgmt.msc进入计算机管理,在系统工具->事件查看器->Windows日志->安全中,通过筛选当前日志筛选事件ID为4624,未发现外网IP地址有关的登录记录。
使用命令compmgmt.msc进入计算机管理,在系统工具->任务计划程序->任务计划程序库中,未发现与外网IP地址有关的计划任务后门。
使用命令msinfo32进入系统信息,在软件环境->启动程序中,未发现与外网IP地址有关的启动程序后门。
使用命令msinfo32进入系统信息,在软件环境->服务中,未发现与外网IP地址有关的服务后门。
排查桌面的文件,打开《防诈骗.doc》、《学校放假通知-练习.doc》、《我的父亲 - 打字练习.doc》等文件后,使用命令netstat -nao会发现存在与外网IP地址8.219.200.130的网络连接。
在Word中通过工具->宏->Visual Basic 编辑器查看宏,发现存在宏代码。
将文件上传到微步沙箱分析,发现存在宏病毒,病毒会去http://8.219.200.130:80/hhW5下载恶意程序。
因此第一题“攻击者的外网IP地址”的答案是:8.219.200.130。
二、攻击者的内网跳板IP地址
继续排查桌面的文件,打开《phpStudy - 修复》文件后,使用命令netstat -nao会发现存在与内网IP地址192.168.20.129的网络连接。
右键选择“编辑”,发现是一个bat脚本,会去http://192.168.20.129:801/a下载恶意程序。
因此第二题“攻击者的内网跳板IP地址”的答案是:192.168.20.129。
三、攻击者使用的限速软件的md5大写
继续排查桌面的文件,发现“P2P终结者”,该软件可以限制局域网用户的网速,相关知识可以查看文章:。
右键选择“打开文件位置”可以进入程序目录。
使用命令certutil -hashfile p2pover.exe MD5计算MD5值,但并不是答案。
可能答案是要安装包的MD5值,在文件浏览器中搜索“p2pover”可以搜到安装包,打开文件位置后使用命令certutil -hashfile p2pover4.34.exe MD5计算MD5值得到答案。
因此第三题“攻击者使用的限速软件的md5大写”的答案是:2A 5D 88 38 BD B4 D4 04 EC 63 23 18 C9 4A DC 96。
四、攻击者的后门md5大写
第一题时已经排查过多个后门,均未有收获,此处最终排查发现存在粘滞键后门,相关知识可参考:.html。
粘滞键程序是C:\Windows\System32\sethc.exe,打开文件位置后使用命令certutil -hashfile sethc.exe MD5计算MD5值得到答案。
因此第四题“攻击者的后门md5大写”的答案是:58 A3 FF 82 A1 AF F9 27 80 9C 52 9E B1 38 5D A1。
五、攻击者留下的flag
第四题的粘滞键后门,连续按5次shift键就能触发,触发后意外发现flag。
因此第五题“攻击者留下的flag”的答案是:flag{zgsf@shift666}。
发布评论