HTBSherlockTickTock
简介
Gladys 是公司新员工,她收到一封电子邮件,通知她 IT 部门将对她的电脑进行一些工作,她被要求致电 IT 团队,他们会告诉她如何允许他们进行远程访问。然而,IT 团队实际上是一群试图攻击 Forela 的黑客。
作为 C2 代理上传的可执行文件的名称是什么?
Appdata->local中有一个teamview.是一个远程控制的软件,在logs中能找到交互的日志,既然是C2可执行文件,搜索.exe
找到一个merlin.exe,所使用了的C2框架是Merlin
初始访问时的会话 ID 是什么?
搜索sessionID,第一个就是初始访问的会话ID
-2102926010
攻击者试图在 C: 盘上设置 bitlocker 密码,密码是什么?
bitlocker设置应该在事件日志当中
PS D:\wangan\ctf\sherlock\EvtxeCmd> .\EvtxECmd.exe -d .\logs\ --csv . --csvf evt.csv |
timeline打开,过滤一下5.4号,然后用户名为glady
查看一下可执行文件那栏,有一个很可疑的powershell执行(不过时间和上一问有点对不上?)
C:\Windows\System32\WindowsPowerShell\v1.0\powershell.exe -e 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 |
base64解码一下
┌──(mikannse㉿kali)-[~] |
密码为reallylongpassword
袭击者使用了什么名字?
在teamview中搜索Participant,连接参与者
fritjof olfasson
C2 连接回了哪个 IP 地址?
查看merlin.exe的DstIP
52.56.142.81
Windows Defender 将 C2 二进制文件归类为什么类别?
provider筛选windows defender,然后exe搜索merlin
VirTool:Win32/Myrddin.D
攻击者用来操纵时间的 powershell 脚本的文件名是什么?
powershell脚本就是.ps1,在MFT中搜索.ps1
Invoke-TimeWizard.ps1
初始接入连接什么时候开始的?
teamview中搜索connection,第一条
2023/05/04 11:35:27
恶意二进制文件的 SHA1 和 SHA2 总和是多少?
vscode在整个文件夹中搜索sha1
Collection\C\ProgramData\Microsoft\Windows Defender\Support\MPLog-07102015-052145.log中找到
sha1=ac688f1ba6d4b23899750b86521331d7f7ccfb69,sha2=42ec59f760d8b6a50bbc7187829f62c3b6b8e1b841164e7185f497eb7f3b4db9
ac688f1ba6d4b23899750b86521331d7f7ccfb69:42ec59f760d8b6a50bbc7187829f62c3b6b8e1b841164e7185f497eb7f3b4db9
powershell脚本改变了机器上的时间多少次?
系统时间改变的事件ID为4616,然后筛选powershell.exe
2371
受害用户的 SID 是什么?
在上一问中随便找一个事件的payload中找到
S-1-5-21-3720869868-2926106253-3446724670-1003