TryHackMe-Investigating Windows

发布于 2022-12-21  1420 次阅读


简介:

一台 Windows 机器被黑了,你的工作是去调查这台 Windows 机器并找到黑客可能做了什么的线索。

房间链接:

https://tryhackme.com/room/investigatingwindows#

问题:



挑战开始:

首先挂上vpn,用题目给的账号密码远程登录服务器
刚登录上去就发现有个程序在运行

看这样子应该是个自启的恶意程序
首先根据问题来找答案

1.Windows机器的版本和年份是多少?

按 "Window+R",输入cmd打开命令行,输入systeminfo
可以得知这是一台Windows Server 2016

2.哪个用户最后登录?

按 "Window+R",输入eventvwr.msc打开事件查看器
左边点击windows log--Security查看安全日志

然后在右边进行筛选

查看用户可以筛选4624或者4648

但是筛选4624的话会有些内置账号登陆,所以这儿优先筛选4648
可以看到最后一次登陆是administrator,登陆的ip是我的VPNip地址

往下翻,看看上一次是哪个用户登录的

可以看到也是administrator用户,日期有点早,应该是当时做成靶机的时间

3.约翰最后一次登录系统是什么时候?

这儿有两种查询方法,因为我没有登陆过john的账号,那么上次登陆时间就是最后一次登陆时间
直接net user john查看

同样也可以在日志里面查看

4.系统第一次启动时连接到什么IP?

这个问题在上面已经有提到了,开机自启了个程序

ip就在上面

5.哪两个帐户具有管理权限(管理员用户除外)?

直接net localgroup administrators

6.恶意的定时任务叫什么名字

在做题的过程中一直有任务在自启--记住了程序名字是C:\TMP\mim.exe
按 "Window+R",输入taskschd.msc打开计划任务
可以看到刚刚记录的mim.exe每五分钟执行一次,看着执行的代码,判断是minikatz,每五分钟读取系统密码保存到文件中

但是这题的答案是另一个计划任务,使用nc.ps1开启了一个端口监听

7.任务试图每天运行什么文件?

答案在6中

8.该文件在本地侦听哪个端口?

答案在6中

9.珍妮上次登录是什么时候?

直接net user jenny,可以发现从没登录过

10.妥协发生在什么日期?

讲道理这题目由于英文太差没看懂啥意思,原文是
At what date did the compromise take place?
这儿我就理解成了Jenny账号创建的时间
所以答案3/02/2019

11.Windows 什么时候第一次为新登录分配特殊权限?

这个得回到事件查看器里面,还是安全日志筛选4648,拉到最下面看第一次用户登陆的时间

12.使用什么工具获取 Windows 密码?

6里面已经说了。mimikatz

13.攻击者的外部控制和命令服务器 IP 是多少?

这道题找一开始找了几个计划任务时间相近的远程登录日志访问IP,但是都不正确
看到下面的问题的时候才找到了正确的答案

14.通过服务器网站上传的 shell 的扩展名是什么?

查看了下默认的网站文件夹

15.攻击者打开的最后一个端口是什么?

这个查看下防火墙

16.检查DNS中毒,目标站点是什么?

这个查看下host解析
文件位置
C:\Windows\System32\drivers\etc\hosts
可以看到谷歌被指向了一个IP

这个IP也是13题中的攻击者IP

答案



届ける言葉を今は育ててる
最后更新于 2022-12-21