这是一个挑战,正如上面所说的那样,调查以前受到威胁的 Windows 机器存在一些挑战。
使用 RDP 连接到计算机。计算机的凭据如下:
用户名:管理员
密码:letmein123!
请注意,此计算机不响应 ping (ICMP),可能需要几分钟才能启动。
TryHackMe | Investigating Windows
1、Windows 机器的版本和年份是多少? 答案:Windows Server 2016
查看Windows版本:cmd中命令sysinfo(查看信息较多,还有打过的补丁的信息,在Windows提权中也能使用)
或使用winver
2、哪个用户最后登录? 答案:Administrator
命令:quser
3、John 上次登录系统是什么时候? 答案:03/02/2019 5:48:32 PM
4、系统首次启动时连接到哪个 IP? 答案:10.34.2.3
注册表路径:HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UpdateSvc
5、哪两个帐户具有管理权限(管理员用户除外)? 答案:Jenny, Guest
查看具有管理员权限账户命令:net localgroup administrators
6、恶意计划任务的名称是什么? 答案:Clean file system
查看定时任务表,发现定时任务Clean file system和GameOver都存在恶意行为,Clean file system调用netcat 本地开启1348监听、GameOver抓取登陆密码并存放到txt文件中。
7、任务每天尝试运行哪个文件? 答案:nc.ps1 (由6得知)
8、此文件在本地侦听了哪个端口? 答案:1348 (由6得知)
10、妥协发生在什么日期? 答案:03/02/2019 (由6得知计划任务创建时)
9、Jenny 上次登录是什么时候? 答案:never
同3一样,net user jenny
11、在泄露期间,Windows 在什么时间首次为新登录分配特殊权限? 答案:03/02/2019 4:04:49 PM
这个我的思路是在安全日志中删选分配特殊权限事件ID:4672,但无果,可能是想法有问题
12、什么工具是用来获取 Windows 密码的? 答案:Mimikatz
由6可知,计划任务GameOver在调用程序抓取密码,到相应的目录下,找到经典工具猕猴桃
16.检查 DNS 中毒,目标站点是什么? 答案:google.com
检查hosts文件,C:\Windows\System32\drivers\etc\hosts
13、攻击者的外部控制和命令服务器 IP 是什么? 答案:76.32.97.132
14、通过服务器网站上传的 shell 的扩展名是什么? 答案:.jsp
查看网站根目录:C:\inetpub\wwwroot
15、攻击者打开的最后一个端口是什么? 答案:1337
查看防火墙入栈规则,最后一条