首先还是打开题目,看下描述,描述的意思是:我们注意到来自无法更换的关键 PC 的一些奇怪连接。我们已运行 AV 扫描以删除恶意文件并重新启动机器,但连接会重新建立。我们已经备份了一些关键的系统文件,你能帮我们弄清楚发生了什么吗?
当然可以,我来瞅瞅,先下载下来文件,看看是什么玩意。
好家伙,有点麻烦,连后缀都没得,这哪知道是什么玩意。
拖到kali中,用file命令查看下是什么文件。
file query
结果表明,这是一个注册表文件,okok。
再通过搜索引擎找啊找,找到了这个软件,可以解析注册表文件。
https://git哈布.com/keydet89/RegRipper3.0
#注意自己替换hub
下载下来后,可以直接运行的,hive file选择下载下来的query文件,report file自己随便选,命名好就行了。
点击rip!后,会解析出来.log和.txt文件。
打开.log文件,发现好像没啥。
再打开.txt文件,是一些注册表的信息
此时我感觉,直接ctrl+f搜索htb,tmd肯定有结果!然后一搜
好家伙,没戏了。继续通过谷歌使用关键词register persistence关键词,找到第一个链接这篇文章
这篇文章介绍,红队一般获取目标机器后,需要持续性的渗透的能力,因此会增加一些注册表信息,以下几个需要重点关注。
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunOnce" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServices" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"
"HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\RunServicesOnce" /v Pentestlab /t REG_SZ /d "C:\Users\pentestlab\pentestlab.exe"
OK,我们有思路了,我们去找这个注册表中的几个值就好了,分别是Run,RunOnce,RunServices,RunServicesOnce。
我们去搜,通过Run,我们发现了这个值
有一个很奇怪的exe,我们使用cyberchef解析一下,拿到flag。