应急响应靶机——Windows近源攻击

载入虚拟机，开启虚拟机，点击“解题.exe”：

（账户密码：Administrator/zgsf@2024）

1、攻击者的外网IP地址

2、攻击者的内网跳板IP地址

3、攻击者使用的限速软件的md5大写

4、攻击者的后门md5大写

5、攻击者留下的flag

---

啧，不知道为什么这台虚拟机安装VMare Tools失败，不过没关系，用MobaXterm的RDP连接：

---

右键粘贴一些必要的工具：

我测，不兼容啊，没事，那就将一些可疑的东西下载到本地windows中，比如桌面上的几个word文档

---

将下载的四个word文档用奇安信沙箱跑一下：

发现学校放假通知-练习.doc里藏有宏病毒

---

得到外网IP：8.219.200.130

---

先显示隐藏的文件、文件夹和驱动器：

发现桌面上多了个lnk文件夹：

打开之后发现里面有个test.bat文件：

以记事本方式打开：

得到内网IP：192.168.20.129

---

查看一下学校放假通知-练习.doc的文件属性：

发现创建时间、访问时间、修改时间都是在同一天

查找 2024-05-06 创建的文件,输出到txt文件

#直接输出中文会乱码，先设置控制台编码再查找输出

chcp 65001

dir /TC /O-D /S | findstr "2024/05/06" > 1.txt

/TC：以通用格式显示文件的创建时间。

/O-D：按照创建时间降序排列。

/S：递归地搜索所有子目录。

（这里不知道为什么用powershell会停止运行，改成cmd倒是成功）

还是一样复制粘贴到本机windows打开：

没找到，但按理说，应该是在这块区域往上一部分找得到一个明显没见过的.exe程序的，但先别急，我还有一计，用everything搜索关键词“.exe”，并按时间排序，找到2024/05/06这段时间的文件：

但很可惜还是没有

---

后面发现在C:\PerfLogs\666\666\777\666\666\666\666\666\666\666\666\666\666\666中有一个p2pover4.34.exe：

我测，修改时间怎么是2014/08/04，what can i say？

搜索一下是什么软件：

居然是限速软件，那就将该软件复制粘贴到windows本机上，用“哈希计算器”查看md5值：

得到md5值：2A5D8838BDB4D404EC632318C94ADC96

---

检查启动项、计划任务、服务未发现异常，排查shift后门时（连续点击shift键5次），发现攻击者留的后门：

得到flag：flag{zgsf@shift666}

---

everything查找sethc.exe，复制粘贴到本机windows：

得到md5值：58A3FF82A1AFF927809C529EB1385DA1

---

总计一下：

1、8.219.200.130

2、192.168.20.129

3、2A5D8838BDB4D404EC632318C94ADC96

4、58A3FF82A1AFF927809C529EB1385DA1

5、flag{zgsf@shift666}

复制粘贴“解题.exe”到本机windows中运行（虚拟机看起来比较难受），不过问的md5是小写，但答案必须填大写

成功攻克该靶机！

原文地址：https://blog.csdn.net/weixin_73049307/article/details/144095153

免责声明：本站文章内容转载自网络资源，如本站内容侵犯了原著者的合法权益，可联系本站删除。更多内容请关注自学内容网（zxcms.com）！