简介：

一台 Windows 机器被黑了，你的工作是去调查这台 Windows 机器并找到黑客可能做了什么的线索。

房间链接：

https://tryhackme.com/room/investigatingwindows#

问题：

挑战开始：

首先挂上vpn，用题目给的账号密码远程登录服务器
刚登录上去就发现有个程序在运行

看这样子应该是个自启的恶意程序
首先根据问题来找答案

1.Windows机器的版本和年份是多少？

按 "Window+R"，输入cmd打开命令行，输入systeminfo
可以得知这是一台Windows Server 2016

2.哪个用户最后登录？

按 "Window+R"，输入eventvwr.msc打开事件查看器
左边点击windows log--Security查看安全日志

然后在右边进行筛选

查看用户可以筛选4624或者4648

但是筛选4624的话会有些内置账号登陆，所以这儿优先筛选4648
可以看到最后一次登陆是administrator，登陆的ip是我的VPNip地址

往下翻，看看上一次是哪个用户登录的

可以看到也是administrator用户，日期有点早，应该是当时做成靶机的时间

3.约翰最后一次登录系统是什么时候？

这儿有两种查询方法，因为我没有登陆过john的账号，那么上次登陆时间就是最后一次登陆时间
直接net user john查看

同样也可以在日志里面查看

4.系统第一次启动时连接到什么IP？

这个问题在上面已经有提到了，开机自启了个程序

ip就在上面

5.哪两个帐户具有管理权限（管理员用户除外）？

直接net localgroup administrators

6.恶意的定时任务叫什么名字

在做题的过程中一直有任务在自启--记住了程序名字是C:\TMP\mim.exe
按 "Window+R"，输入taskschd.msc打开计划任务
可以看到刚刚记录的mim.exe每五分钟执行一次，看着执行的代码，判断是minikatz，每五分钟读取系统密码保存到文件中

但是这题的答案是另一个计划任务，使用nc.ps1开启了一个端口监听

7.任务试图每天运行什么文件？

答案在6中

8.该文件在本地侦听哪个端口？

答案在6中

9.珍妮上次登录是什么时候？

直接net user jenny,可以发现从没登录过

10.妥协发生在什么日期？

讲道理这题目由于英文太差没看懂啥意思，原文是
At what date did the compromise take place?
这儿我就理解成了Jenny账号创建的时间
所以答案3/02/2019

11.Windows 什么时候第一次为新登录分配特殊权限？

这个得回到事件查看器里面，还是安全日志筛选4648，拉到最下面看第一次用户登陆的时间

12.使用什么工具获取 Windows 密码？

6里面已经说了。mimikatz

13.攻击者的外部控制和命令服务器 IP 是多少？

这道题找一开始找了几个计划任务时间相近的远程登录日志访问IP，但是都不正确
看到下面的问题的时候才找到了正确的答案

14.通过服务器网站上传的 shell 的扩展名是什么？

查看了下默认的网站文件夹

15.攻击者打开的最后一个端口是什么？

这个查看下防火墙

16.检查DNS中毒，目标站点是什么？

这个查看下host解析
文件位置
C:\Windows\System32\drivers\etc\hosts
可以看到谷歌被指向了一个IP

这个IP也是13题中的攻击者IP

答案