Tryhackerme Investigating Windows

最新推荐文章于 2024-07-14 12:07:07 发布
最新推荐文章于 2024-07-14 12:07:07 发布
阅读量1k 收藏 9
点赞数 17
分类专栏: TryHackerMe 文章标签: windows
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57363026/article/details/139640692
版权

Tryhackerme Investigating Windows

前言

这个靶场主要还是应急响应部分的,Windows系统排查,调查windows方面的

简介

在这里插入图片描述

This is a challenge that is exactly what is says on the tin, there are a few challenges around investigating a windows machine that has been previously compromised.
这是一个挑战,正如罐头上所说的那样,在调查以前被入侵的 Windows 机器方面存在一些挑战。

Connect to the machine using RDP. The credentials the machine are as follows:
使用 RDP 连接到计算机。计算机的凭据如下:

Username: Administrator 用户名:管理员
Password: letmein123! 密码:letmein123!

Please note that this machine does not respond to ping (ICMP) and may take a few minutes to boot up.
请注意,此计算机不响应 ping (ICMP),可能需要几分钟才能启动。

文章目录

Whats the version and year of the windows machine?

Windows机器的版本和年份是什么?

一打眼我们发现这个靶机是windows server 但是不知道是什么版本,windwosw server有一个管理的平台
server manager

在这里插入图片描述

在管理平台可以看到windows版本信息
windows server 2016

在这里插入图片描述

Which user logged in last?

哪个用户最后登录?

那个用户最后登录,最后登录图形化界面可以通过事件管理器去查看

Event viewer

1.打开 Event Viewer。

2.在左侧导航栏中,依次展开 “Windows Logs” > “Security” 看里面的内容

3.在右侧窗格中,会列出安全事件。你可以在其中查找 ID 为 4624 的事件,这是登录成功的事件。这些事件将显示用户的登录时间和其他相关信息。

cmd查看
C:\Users\Administrator>net user

User accounts for \\EC2AMAZ-I8UHO76

-------------------------------------------------------------------------------
Administrator            DefaultAccount           Guest
Jenny                    John
The command completed successfully.
C:\Users\Administrator>net user Administrator
User name                    Administrator
Full Name
Comment                      Built-in account for administering the computer/domain
User's comment
Country/region code          000 (System Default)
Account active               Yes
Account expires              Never

Password last set            3/2/2019 5:46:03 PM
Password expires             Never
Password changeable          3/2/2019 5:46:03 PM
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script
User profile
Home directory
Last logon                   6/12/2024 10:44:00 AM

Logon hours allowed          All

Local Group Memberships      *Administrators
Global Group memberships     *None
The command completed successfully
C:\Users\Administrator>net user Jenny
User name                    Jenny
Full Name                    Jenny
Comment
User's comment
Country/region code          000 (System Default)
Account active               Yes
Account expires              Never

Password last set            3/2/2019 4:52:25 PM
Password expires             Never
Password changeable          3/2/2019 4:52:25 PM
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script
User profile
Home directory
Last logon                   Never

Logon hours allowed          All

Local Group Memberships      *Administrators       *Users
Global Group memberships     *None
The command completed successfully.
.......

列出所有用户后,一个一个去查看last logon通过对比Administrator是最近的

When did John log onto the system last?

John 上次登录系统是什么时候?

可以和第二题使用一样的代码去查看.

C:\Users\Administrator>net user john
User name                    John
Full Name                    John
Comment
User's comment
Country/region code          000 (System Default)
Account active               Yes
Account expires              Never

Password last set            3/2/2019 5:48:19 PM
Password expires             Never
Password changeable          3/2/2019 5:48:19 PM
Password required            Yes
User may change password     Yes

Workstations allowed         All
Logon script
User profile
Home directory
Last logon                   3/2/2019 5:48:32 PM

Logon hours allowed          All

Local Group Memberships      *Users
Global Group memberships     *None
The command completed successfully.

答案 : 03/02/2019 5:48:32 PM

What IP does the system connect to when it first starts?

系统首次启动时连接到哪个 IP?

在启动系统的时候我们看到了,但是我们不能清除的记得,只记得是p.exe的文件执行的,但是没有在事件管理器中找到,
我们看一下注册表中有没有,一般系统开机启动的都是可以在注册表找到的

为了防止有些小伙伴在英文中迷了眼,可以在cmd中输入 regedit来打开注册表

进入注册表我们也不知道到底是啥在哪我们直接一点ctrl+f查找C:\TMP\p.exe,我们在执行命令的时候有一个mim.exe反复执行我们大概猜到TMP是攻击者创建的文件夹存放攻击工具的地方

在这里插入图片描述

答案: 10.34.2.3

What two accounts had administrative privileges (other than the Administrator user)?

哪两个帐户具有管理权限(管理员用户除外)?

图形化界面我们可以查看本地用户和组,来查看本地的Administrator 组中有那些用户

由于TiAmo我也看着英文就晕所以我直接使用Cmd代劳 win+R 输入 lusrmgr.msc打开本地用户和组
查看groups(组) administrators 组 发现三个用户具有管理员权限

在这里插入图片描述

答案:Jenny, Guest

Whats the name of the scheduled task that is malicous.

恶意计划任务的名称是什么。

这个我们要在任务计划管理器中去查看也可以在cmd中输入命令查看

任务计划管理器

win+r
taskschd.msc
打开任务计划管理器

因为我们前边推断C://TMP目录是攻击者的存放攻击工具的目录所以我们看它调用了那个文件夹的那个程序
一共是发现两个可疑的程序

在这里插入图片描述

clean file system
A task to clean old files of the system
清理系统旧文件的任务

在这里插入图片描述

gameover
看他执行的命令应该是使用mim.exe将windows的密码写道C:/TMP\的o.txt中

答案:clean file system

What file was the task trying to run daily?

任务每天尝试运行哪个文件?

查看Triggers就可以看到是否是每日执行,结合Actions就不难看出是nc.ps1 而 -l 1348就是参数和参数值

在这里插入图片描述

答案: ns.ps1

What port did this file listen locally for?

此文件在本地侦听了哪个端口?

根据参数值就不难发现是1348

在这里插入图片描述

答案:1348

When did Jenny last logon?

珍妮上次登录是什么时候?

net user jenny 就可以查看了

在这里插入图片描述

答案:never

At what date did the compromise take place?

妥协发生在哪一天?

这个题目是没看明白的,应该说的是服务器是什么时候被RCE的

由于攻击者已经将日志清理干净了,而且入侵完服务器的第一件事就是清除日志文件所以应该就是clean file system创建的那一天

拖到后面就是创建的时间

在这里插入图片描述

答案:03/02/2019

During the compromise, at what time did Windows first assign special privileges to a new logon?

在入侵期间,Windows 何时首次为新登录分配特殊权限?

这个题我也做了半天最后看提示找到的答案,这个题的思路还是进入事件查看器中查看,windows logs —secuity 筛选进程ID为4672的进程,提示说是49秒,我们看看哪一个是49秒

在这里插入图片描述

唯一的49秒所以

答案:03/02/2019 04:04:49 PM

What tool was used to get Windows passwords?

使用什么工具获取 Windows 密码?

相信从每次运行也知道了差不多了
mim.exe在内网运行能在内存中获取账号密码,必然是内网渗透神器(Mimikatz)

答案:Mimikatz

What was the attackers external control and command servers IP?

攻击者的外部控制和命令服务器IP是什么?

这个我们要去看hosts文件

在这里插入图片描述

唯一的外来IP 76.32.97.132

答案:76.32.97.132

What was the extension name of the shell uploaded via the servers website?

通过服务器网站上传的 shell 的扩展名称是什么?

服务器网站,那我们就找一下网站根目录,wwwroot,发现shell是gif格式的但是其他的都是jsp,gif是图片格式但是可以进行隐写在gif中我们改一下后缀来看一下

在这里插入图片描述

发现可以执行但是上面是乱码,上面的乱码是gif图片的

在这里插入图片描述

答案:.jsp

What was the last port the attacker opened?

攻击者打开的最后一个端口是什么?

在处于监听状态的端口的中没看到奇怪的端口

在这里插入图片描述

看一下防火墙的入站规则

在这里插入图片描述

Allow outside connections for development

允许外部连接进行开发

感觉就不想好货

答案:1337

Check for DNS poisoning, what site was targeted?

检查DNS中毒,针对哪个站点?

这个在上面有提到hosts文件中写了

hosts文件在本地优先于DNS解析域名,提供手动映射域名到IP地址的功能。

在这里插入图片描述

答案:google.com

TiAmo_睡不醒
关注
  • 17
    点赞
  • 9
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
tryhackme-Investigating Windows[应急响应案例-溯源取证]
BG1230521的博客
01-25 935
Open打开 Windows 防火墙,然后单击“入站规则”。最新条目显示打开了哪个端口。​Answer:1337答案:1337。
windows溯源取证,应急响应案例:tryhackme之 Investigating Windows
qq_43200143的博客
04-13 4452
文章目录Investigating WindowsWhats the version and year of the windows machine?Which user logged in last?When did John log onto the system last?What IP does the system connect to when it first starts?What two accounts had administrative privileges (other than
Windows 11 system tray do not respond to clicks
fareast_mzh的博客
06-04 362
【代码】Windows 11 system tray don't respond to clicks。Windows 11系统托盘点击无响应
redis.windows-service.conf解析
Fanzongshen的博客
05-27 1069
redis配置文件解析-------redis.windows-service.conf解析 # Redis configuration file example. # # Note that in order to read the configuration file, Redis must be # started with the file path as first argument: # 凡总神解析:redis在启动的时候,指定固定的配置文件启动。 # ./redis-server /path/
Investigating Legions(思维)
百般回首曾经的相遇,留下的只是一缕残忆
07-27 147
Investigating Legions 点击题目跳转 题意 给你一个 n 个点的图的邻接矩阵 ( n <= 300 ) ,其中每个元素都有 1 / S (20 <= S <= 100) 的几率出错,要求复原原图中那些点是在一个连通块里的,既然如此,可以假设只要有一半的数据给出两个士兵在一个队伍里,那该数据正确,反之错误。 #include<bits/stdc++.h> using namespace std; int f[510][510], a[510]; vector
Investigating Div-Sum Property
qq_44527245的博客
12-19 122
An integer is divisible by 3 if the sum of its digits is also divisible by 3. For example, 3702 is divisible by 3 and 12(3+7+0+2) is also divisible by 3. This property also holds for the integer 9. In this problem, we will investigate this property for oth
Windows MSDOS的批处理文件命令
cunjiu9486的博客
10-06 2343
Windows provides different system management modes like interactive and batch. Batch management mode is used like running scripts without or little user interaction. Windows提供了不同的系统管理模式,例如交互式和批处理。 批处理...
Training and investigating Residual Nets
mike112223的博客
03-20 1829
http://torch.ch/blog/2016/02/04/resnets.html
问题 F: Investigating Imposters
m0_61949623的博客
08-26 50
【代码】问题 F: Investigating Imposters。
Investigating_Prison_Population
05-12
调查监狱人口 这是我为Metis数据科学训练营完成的第三个项目。 我使用了2004年司法统计局对囚犯进行的调查来调查监狱人口数据。 我最初着手对囚犯是因暴力犯罪还是非暴力犯罪被监禁进行分类,然后将模型限制在主要...
Investigating Robustness and LinkPredictionAdversarialModifications.pdf
08-09
Representing entities and relations in an embedding space is a well-studied approach for machine learning on relational data. Existing approaches, however, primarily focus on improving accuracy and ...
Cisco Switch Forensics_ Investigating Analyzing Malicious Network Activity
08-22
About This Book Before we can delve into the world of conducting router and switch forensics on Cisco devices, we need to discuss what makes a network secure. Thirty years ago we were using mainframe...
A great technology is worth investigating
03-16
标题 "A great technology is worth investigating" 提到的技术很可能是指IBM的Jazz RTC(Rational Team Concert),这是一种基于协作的软件开发工具,专为敏捷开发团队设计。它属于IBM的Rational软件开发平台的一...
Investigating Bi-Level Optimization for Learning and Vision f
09-23
Investigating Bi-Level Optimization for Learning and Vision from a Unified Perspective A Survey and Beyond.zip
java 中钻石操作符 <> 的使用场景
qq_27390023的博客
07-10 466
钻石操作符在 Java 中的主要作用是简化泛型类型的实例化,减少代码冗余,使代码更加简洁和可读。它通过类型推断机制,让编译器自动推断出类型参数,而不需要程序员显式地重复类型参数。这样不仅减少了代码量,还减少了出错的可能性。
环境管理开发实战
最新发布
zhuzhu_YT的博客
07-14 1072
在上一集我们完成了项目管理开发实战,那么我们可以看到下面的E-R图和标题,我们可以知道,今天我们要完成环境管理开发实战!可以看到一个项目当中是可以存在n个环境的,所以今天的环境管理开发实战,有的参数会和项目的字段有关系哦!
LeetCode LCR027.回文链表 C写法
m0_63816268的博客
07-11 311
通过快慢指针找到中间结点,再将中间结点后的所有结点反转。如果是回文链表那么中间结点往后的值与头结点到中间结点的值都相等,如果有不相等的就不是回文链表。
investigating bi-level optimization for learning and vision
10-18
研究双层优化在学习和视觉中的应用,是为了改善学习算法和视觉系统的性能。在学习和视觉任务中,我们通常面临两个层面的优化问题。 第一层优化问题涉及到学习算法的优化,即如何通过合适的学习算法来获得最佳的模型参数。学习算法的优化过程通常涉及到定义损失函数和选择合适的优化方法。然而,常规的优化方法在高维问题中可能会面临挑战,导致在学习过程中陷入局部最优解。因此,研究者们开始探索使用双层优化方法来改进学习算法的性能。双层优化方法通过引入内部优化循环来进一步更新学习算法中的超参数,以改善模型性能。这种方法可以更好地探索参数空间,寻找更优的模型参数,从而提高学习算法的效果。 第二层优化问题涉及到视觉任务的优化,即如何通过图像处理和计算机视觉算法来解决具体的视觉问题。视觉任务可以包括目标检测、图像分割、姿态估计等多个方面。传统的视觉算法通常是通过定义特定的目标函数并使用迭代方法来进行优化。然而,这种方法可能会受到参数选择和初始条件的限制。因此,研究者们开始研究使用双层优化技术来提高视觉任务的性能。双层优化方法通过引入内部优化循环来逐步调整算法超参数和模型参数,以更好地适应特定的视觉任务。 总之,研究双层优化在学习和视觉中的应用,旨在改善学习算法和视觉系统的性能。这种方法可以通过优化学习算法的参数和模型参数,以及优化视觉任务的目标函数和算法参数,来改进学习和视觉的效果。这将有助于在学习和视觉领域取得更好的结果和应用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

TiAmo_睡不醒

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值