文章目录
前言
仅供个人学习,如有冒犯请尽快联系
记录Where-1S-tHe-Hacker应急靶机的实操
登陆界面看到一个admin $ ,注意 $ 加在用户名后面就变为隐藏用户了
1.攻击者在黑页上留下的疑似黑客ID是?(末尾不带空格)
打开phpstudy,开启服务后打开根目录,发现疑似id
正确
2.攻击者在什么时间修改了网站主页?(右键文件属性复制粘贴)
右键打开index.php的属性
复制粘贴修改日期
3.攻击者写入的第一个和第二个webshell文件名是?
打开file文件,观察日期,有两个文件是最近写入的
复制粘贴先写入的文件
4.第二个webshell的连接密码是?
打开第二个文件,观察可得‘pass’
5.攻击者新建的隐藏账户是?
这里就是我们刚刚发现的,进一步确定,打开c盘>用户,可得admin$为隐藏用户
6.日志分析,隐藏账户创建时间是?(答案格式:2024/12/3 9:16:23)
这一步开始日志分析,先分享一些有用的事件id
右键windows键,打开事件查看器
windows日志>安全
ctrl+f查找4720
翻到了
7.添加隐藏账户进管理员组的时间是?(答案格式同上题)
同样的方法,查找4732
翻到了
8.攻击者在什么时间从文件中读取保留的密钥?(答案格式同上题)
也是一样的方法,读5058,即对密钥文件的操作,不过得注意是对计算机的密钥,而不是用户密钥,并且读取密钥后要跟着打开密钥
9.隐藏账户通过(PTH)哈希传递攻击登录的时间是?
通过哈希传递攻击来登录,我们搜索登录成功的事件,并注意是否含有NTLM
10.攻击者上传的两个CobaltStrike木马文件名是?
用D-Eyes扫恶意文件
有的检测不出来是因为被Windows Defender自动隔离了,样本提取需要从隔离区恢复
438
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
