好久没更新了说是 来水一篇
https://xj.edisec.net/challenges/94
1、攻击者通过钓鱼攻击拿下来目标主机,请给出攻击者钓鱼使用的漏洞编号,flag格式:flag{CVE-2019-13514}
桌面有个漏洞通报.rar
放入云沙箱查看,得知CVE-2023-3883
2、给出钓鱼程序下载木马的地址,flag格式: flag{https://www.hurkin.top:3000/shell.exe}
把压缩包里面的文件解压出来,查看一下,发现是exe文件,用IDA打开main函数查看
http://192.168.229.156:7001/wls-wsat/7z.exe
3、给出远控木马的小写md5,flag格式:flag{md5(shell.exe)}
由第二题得知,木马被储存在
C:UsersAdministratorAppDataLocalTemp7z.exe
但是该文件夹下没有找到该文件,推测被隐藏了使用ls -Force去读(和ls -a一样)
-arhs-:该文件具有 只读(a: archive)、隐藏(h: hidden)、系统文件(s: system) 属性。
用attrib -h -s 7z.exe 将文件取消隐藏
然后certutil -hashfile 7z.exe MD5获取木马的md5值
d1e11c3281072d11088e7b422ad52e6c
4、给出远控木马程序的服务端IP:flag格式:flag{127.0.0.1}
直接把7z.exe放云沙箱
5、给出攻击者在横向中上传的内网扫描工具位置,flag格式:flag{C:Program Files (x86)Mozilla Firefoxfontsa.exe}
常见的内网扫描工具有Nmap和fscan
用everything去找,找到C:WindowsTempfscan.exe
6、给出攻击者在权限维持中创建的服务名称,flag格式:flag{sc_name}
用火绒剑查看
flag{MysqlServer}
7、给出攻击者创建影子账户的名称,flag格式:flag{username}
flag{hack$}
8、给出攻击者第一次成功远程登入系统的时间flag格式:flag{2024-01-01 01:01:01}
- 4624 - 帐户已成功登录
- 4625 - 帐户登录失败
- 4634 - 帐户被注销
- 4647 - 用户发起注销
- 4648 - 试图使用明确的凭证登录(可以查看远程登陆的相关信息,比如IP地址等)
此处先过滤4624,分出登录成功的部分
然后根据用户名hack$去搜索 找到最早的一个时间
2024-09-22 13:15:11
9、攻击者在横向中创建了一个端口转发规则,给出转发的目的IP地址和端口,flag格式:flag{127.0.0.1:3389}
检测方法
- Windows系统
# 检查现有的端口转发规则
netsh interface portproxy show allLinux系统
# 检查iptables/nftables规则
iptables -t nat -L -n
ss -tulnp | grep "转发端口"
flag{10.10.10.103:3389}
Comments NOTHING