蓝队应急响应实战案例（三）开启Windows应急之旅

第三章 权限维持-linux权限维持-隐藏-中等

简介 ssh [email protected] -p 密码 xjqxwcyc

1.黑客隐藏的隐藏的文件 完整路径md5

查找隐藏文件

find /-type f -name '.*'2>/dev/null | grep -v "sys"

查找隐藏文件夹

find /-type d -name '.*'2>/dev/null | grep -v "sys"

发现一个可疑隐藏文件夹/tmp/.temp

查看文件夹内容发现存在shell

flag{109ccb5768c70638e24fb46ee7957e37}

2.黑客隐藏的文件反弹shell的ip+端口 {ip:port}

第二题答案在上图中已经找到 /tmp/.temp/libprocesshider/1.py

flag{114.114.114.121:9999}

3.黑客提权所用的命令 完整路径的md5 flag{md5}

看一下哪些命令设置了 suid 的权限

find /-type f -perm -40002>/dev/null

使用网站https://gtfobins.github.io/gtfobins/find/

可以找到find 被设置了Sudo权限后可以试用如下命令进行提权

sudo find .-exec/bin/sh ; -quit

flag{7fd5884f493f4aaf96abee286ee04120}

4.黑客尝试注入恶意代码的工具完整路径md5

在查找隐藏文件夹的时候发现 一个隐藏文件夹/opt/.cymothoa-1-beta

find /-type d -name ".*"2>/dev/null

经过搜索发下是一个后门工具

flag{087c267368ece4fcf422ff733b51aed9}

5.使用命令运行 ./x.xx 执行该文件 将查询的 Exec****** 值 作为flag提交 flag{/xxx/xxx/xxx}

执行这个1.py

python /tmp/.temp/libprocesshider/1.py

查看网络连接情况 发现多出一个PID为417的进程

查看它的cmdLine

cat /proc/417/cmdline

flag{/usr/bin/python3.4}

第四章 windows实战-emlog-简单

简介 服务器场景操作系统 Windows 服务器账号密码 administrator xj@123456

小李在值守的过程中，发现有CPU占用飙升，出于胆子小，就立刻将服务器关机，并找来正在吃苕皮的hxd帮他分析，这是他的服务器系统，请你找出以下内容，并作为通关条件：

使用远程桌面连接后发现桌面有PhpStudy

1.攻击者的shell密码

在网站根目录中寻找shell

将网站根目录下载下来使用D盾进行查杀

发现shell.php 为冰蝎木马 密码为rebeyond

flag{rebeyond}

2.攻击者的IP地址

查看apache的日志发现IP 192.168.261.1 在进行爆破攻击和访问webshell操作 故判定攻击者IP为192.168.126.1

flag{192.168.126.1}

3.攻击者的隐藏账户名称

查看注册表项

计算机HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNameshacker138$

发现隐藏用户hacker138$

flag{hacker138}

4.攻击者挖矿程序的矿池域名(仅域名)

在隐藏用户桌面发现一个python打包的应用程序

使用工具https://github.com/pyinstxtractor/pyinstxtractor-ng.git 进行反编译

使用在线网站对pyc文件进行反编译 发现域名

flag{wakuang.zhigongshanfang.top}

第四章 windows实战-wordpress-困难

简介 第四章 windows实战-wordpress rdp 端口 3389 administrator xj@123456

使用远程桌面登录到服务器上 发现桌面存在小皮面板 打开后发现 站点是基于Nginx的

请提交攻击者攻击成功的第一时间，格式：flag{YY:MM:DD hh:mm:ss}

我们将Nginx的日志下载到本地进行分析，发现攻击者在进行fuzz 成功fuzz到登录接口，之后进行登录 在尝试一次登录后没有成功，在第二次登录时成功跳转到manage页面中，也就是如下的日志信息。

29/Apr/2023:22:45:23
flag{2023:04:2922:45:23}

请提交攻击者的浏览器版本 flag{Firgfox/2200}

在日志文件中我们可以很清楚的看到攻击IP是192.168.141.55 浏览器的版本在User-Agent里面有

flag{Firefox/110.0}

请提交攻击者目录扫描所使用的工具名称

FuzzFaster U Fool v1.5.0
flag{FuzzFaster U Fool}

找到攻击者写入的恶意后门文件，提交文件名（完整路径）

在网站根目录发现一个隐藏文件.x.php 打开后查看发现是一个一句话木马。

flag{C:phpstudy_proWWW.x.php}

找到攻击者隐藏在正常web应用代码中的恶意代码，提交该文件名（完整路径）

C:phpstudy_proWWWusrthemesdefaultpost.php
flag{C:phpstudy_proWWWusrthemesdefaultpost.php}

请指出可疑进程采用的自动启动的方式，启动的脚本的名字 flag{1.exe}

查看文件上传的敏感目录 temp目录和Windows目录

在Windows目录下发现两个恶意文件 360.exe

运行后会和外部IP进行外联

flag{x.bat}

第五章 Windows 实战-evtx 文件分析-简单

服务器场景操作系统 None 点击下载附件获取附件 任务环境说明 注：样本请勿在本地运行！！！样本请勿在本地运行！！！样本请勿在本地运行！！！ 应急响应工程师在收到设备告警后，在受到攻击的服务器保存了一份log 请你协助分析 LOG 文件提交对应的 FLAG

1.将黑客成功登录系统所使用的IP地址作为Flag值提交；

分析日志文件安全事件 根据时间排序，查看事件ID为 4624的事件

发现在攻击后只有192.168.36.133这个IP攻击成功了

flag{192.168.36.133}

2.黑客成功登录系统后修改了登录用户的用户名，将修改后的用户名作为Flag值提交；

查找事件ID为4738的事件，代表修改账户操作，发现将用户名修改为Adnimistartro

flag{Adnimistartro}

3.黑客成功登录系统后成功访问了一个关键位置的文件，将该文件名称（文件名称不包含后缀）作为Flag值提交；

过滤安全事件ID4663

flag{SCHEMA}

4.黑客成功登录系统后重启过几次数据库服务，将最后一次重启数据库服务后数据库服务的进程ID号作为Flag值提交；

查看应用程序日志文件，可以知道最后一次重启数据库服务的PID为8820

flag{8820}

5.黑客成功登录系统后修改了登录用户的用户名并对系统执行了多次重启操作，将黑客使用修改后的用户重启系统的次数作为Flag值提交。

根据修改登录名的时间为14:59 过滤出事件ID为12的事件并对其进行排序

发现在攻击时间内有一次重启

过滤出事件ID为1074的事件ID 发现重启过两次

一共重启3次

flag{3}

原文始发于微信公众号（SSP安全研究）：蓝队应急响应实战案例（三）开启Windows应急之旅