1.攻击者在黑页上留下的疑似黑客ID是?
打开本地的网站,发现了id
2.攻击者在什么时间修改了网站主页?
发现了这个文件是来修改网站主页的,右键属性就看到了修改时间
3.攻击者写入的第一个webshell文件名是?
去下个应急工具包,用d盾扫描根目录
看创建时间
所以,第一个webshell名字就是SystemConfig.php
4.攻击者写入的第二个webshell文件名是?
syscon.php
5.第二个webshell的连接密码是?
密码也就是pass
6.攻击者新建的隐藏账户是?
d盾可以查看隐藏的用户,但要管理员身份运行参考此处
发现了admin$
7.日志分析,隐藏账户创建时间是?(答案格式:2024/12/3 9:16:23)
用net user admin$来查看帐户的属性参考
发现了时间,2023/11/6 4:45:34
8.添加隐藏账户进管理员组的时间是?(答案格式同上题)
看了wp知道,要用事件查看器
4624 登录成功
4625 登录失败,如果有人尝试破解系统密码,可以看到大量连续登录失败信息
4726 删除用户
4722 账号启用
4725 账号禁用
4723 修改密码
4724 重置密码
4634 注销成功
4647 用户启动的注销
4672 管理员登录
4720 创建用户,使用系统漏洞攻击成功后,往往会创建一个用户,方便远程登录
4732 加入安全组,常见于将新用户加入管理员组
4733 移除出安全组
4684 通过登陆界面登陆的
去查看ID为4732的任务
2023/11/6 4:46:07
9.攻击者在什么时间从文件中读取保留的密钥?(答案格式同上题)
从当天11月6号的日志中翻找,在ID为5061处找到了打开密钥信息,继续找在5085处找到了保存密钥信息
找到时间 2023/11/6 4:46:58
10.隐藏账户通过(PTH)哈希传递攻击登录的时间是?
PTH是hash传递攻击参考
去找有admin$账号下的NTLM的任务
2023/11/6 4:47:28
11.攻击者上传的两个CobaltStrike木马文件名是?(答案格式:“A.exe和B.exe”)
强哥说用D-Eyes参考
这里出错是因为,两个病毒在隔离区,没有还原
再次扫描就出了SystemTemp.exe和SysnomT.exe
总结
1368
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
