玄机应急响应第四章

Windows日志分析

1.审计桌面的logs日志，定位所有扫描IP，并提交扫描次数

查看日志，发现.33和.67均为进行扫描的ip

┌──(mikannse㉿kali)-[~/Desktop]
└─$ cat access.log|cut -d " " -f1 |sort -n |uniq -c
    169 127.0.0.1
    524 192.168.150.1
     54 192.168.150.33
      1 192.168.150.60
   6331 192.168.150.67

6331+54=6385

flag{6385}

2.审计相关日志，提交rdp被爆破失败次数

RDP报错需要通过查看windows事件来分析

进入eventvwr.msc

查看”安全”日志，筛选事件ID为4625，是RDP登录失败的ID

flag{2594}

3.审计相关日志，提交成功登录rdp的远程IP地址，多个以&连接,以从小到大顺序排序提交

成功登录的事件为4624

导出之后直接筛选

┌──(mikannse㉿kali)-[~/Desktop]
└─$ cat loginsucc.txt |grep 源网络地址 |cut -d ":" -f2 |sort -nr |uniq
        192.168.150.33
        192.168.150.178
        192.168.150.128
        192.168.150.1
        127.0.0.1
        -

排除掉扫描的.33

flag{192.168.150.1&192.168.150.128&192.168.150.178}

4.提交黑客创建的隐藏账号

隐藏账号需要通过lusrmgr.msc查看

flag{hacker$}

5.提交黑客创建的影子账号

影子账户要在注册表中的HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names查看

flag{hackers$}

6.提交远程shell程序的连接IP+端口，以IP:port方式提交

netstat -ano

找到一个内部大端口连接外部4444端口，判断是远程的shell

flag{185.117.118.21:4444}

7.黑客植入了一个远程shell，审计相关进程和自启动项提交该程序名字

在注册表的HKEY*CURRENT*USER\Software\Microsoft\Windows\CurrentVersion\Run中查看自启动项

C:\Windows\system64\systemWo\xiaowei.exe

flag{xiaowei.exe}

8.黑客使用了计划任务来定时执行某shell程序，提交此程序名字

在控制面板->系统->管理工具能够查看计划任务

在任务计划程序库中找到一个download,下载上一问的.exe,右键操作发现是一个.bat脚本

C:\Windows\zh-CN\download.bat

flag{download.bat}

windows实战-向日葵

向日葵的日志在目录中的Log文件夹

通过本地 PC RDP到服务器并且找到黑客首次攻击成功的时间为 为多少,将黑客首次攻击成功的时间为 作为 FLAG 提交(2028-03-26 08:11:25.123);

从最早的sunlogin_service.20240321-191046.log开始看起

发现一连串比较可疑的目录穿越的尝试，猜测是CNVD-2022-10207的攻击利用

参考: https://blog.csdn.net/chang113/article/details/125379703

搜索/check，锁定到

/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+whoami

成功执行了一个whoami指令

flag{2024-03-26 10:16:25.585}

通过本地 PC RDP到服务器并且找到黑客攻击的 IP 为多少,将黑客攻击 IP 作为 FLAG 提交;

flag{192.168.31.45}

通过本地 PC RDP到服务器并且找到黑客托管恶意程序 IP 为,将黑客托管恶意程序 IP 作为 FLAG 提交;

flag{192.168.31.249}

找到黑客解密 DEC 文件,将黑客DEC 文件的 md5 作为 FLAG 提交;

群满了获取不到文件

通过本地 PC RDP到服务器并且解密黑客勒索软件,将桌面加密文件中关键信息作为 FLAG 提交;

群满了获取不到文件

windows实战-emlog

通过本地 PC RDP到服务器并且找到黑客植入 shell,将黑客植入 shell 的密码 作为 FLAG 提交;

复制WWW目录，D盾扫描到一个shell.php

flag{rebeyond}

通过本地 PC RDP到服务器并且分析黑客攻击成功的 IP 为多少,将黑客 IP 作为 FLAG 提交;

复制apache的log目录,搜索shell.php

flag{192.168.126.1}

通过本地 PC RDP到服务器并且分析黑客的隐藏账户名称,将黑客隐藏账户名称作为 FLAG 提交;

查看lusrmgr.msc

flag{hacker138}

通过本地 PC RDP到服务器并且分析黑客的挖矿程序的矿池域名,将黑客挖矿程序的矿池域名称作为(仅域名)FLAG 提交;

在hacker138的桌面发现一个Kuang的可以执行程序，是使用pyinstaller编译的，先进行一个反编译

使用 https://github.com/extremecoders-re/pyinstxtractor/blob/master/pyinstxtractor.py

然后再使用将Kuang.pyc进行反编译

使用 https://tool.lu/pyc/

flag{wakuang.zhigongshanfang.top}

windows实战-wordpress

请提交攻击者攻击成功的第一时间，格式：flag{YY:MM:DD hh:mm:ss}

复制nginx的日志

查看日志，发现前面是在爆破目录，然后成功扫描出登录界面进行登录，那么登陆成功的跳转时间就是成功时间

flag{2023:04:29 22:45:23}

请提交攻击者的浏览器版本 flag{Firgfox/2200}

flag{Firefox/110.0}

请提交攻击者目录扫描所使用的工具名称

查看前面的User-Agent

flag{Fuzz Faster U Fool}

找到攻击者写入的恶意后门文件，提交文件名（完整路径）

在后面找到一个.x.php，是一个木马文件

flag{C:\phpstudy_pro\WWW.x.php}

找到攻击者隐藏在正常web应用代码中的恶意代码，提交该文件名（完整路径）

将web目录放入D盾，扫描到一个post.php

flag{C:\phpstudy_pro\WWW\usr\themes\default\post.php}

请指出可疑进程采用的自动启动的方式，启动的脚本的名字 flag{1.exe}

在C:\Windows目录下找到一个x.bat,用于启动360.exe,猜测是恶意脚本

flag{x.bat}