应急靶场(1)：Win2008R2近源应急响应

下载好靶场（[hvv训练]应急响应靶机训练-近源渗透OS-1）并搭建好环境，在自己的电脑上使用命令mstsc进入远程桌面连接，输入靶机的IP地址和帐号密码（Administrator / zgsf@2024）进入靶机。

一、攻击者的外网IP地址

使用命令netstat -nao，未发现与外网IP地址有关的网络连接。

使用命令compmgmt.msc进入计算机管理，在系统工具->事件查看器->Windows日志->安全中，通过筛选当前日志筛选事件ID为4624，未发现外网IP地址有关的登录记录。

使用命令compmgmt.msc进入计算机管理，在系统工具->任务计划程序->任务计划程序库中，未发现与外网IP地址有关的计划任务后门。

使用命令msinfo32进入系统信息，在软件环境->启动程序中，未发现与外网IP地址有关的启动程序后门。

使用命令msinfo32进入系统信息，在软件环境->服务中，未发现与外网IP地址有关的服务后门。

排查桌面的文件，打开《防诈骗.doc》、《学校放假通知-练习.doc》、《我的父亲 - 打字练习.doc》等文件后，使用命令netstat -nao会发现存在与外网IP地址8.219.200.130的网络连接。

在Word中通过工具->宏->Visual Basic 编辑器查看宏，发现存在宏代码。

将文件上传到微步沙箱分析，发现存在宏病毒，病毒会去http://8.219.200.130:80/hhW5下载恶意程序。https://s.threatbook.com/report/file/334d2c38dadfe9ef6b73d645776f9bd4305a3b541b9c6d79cc1de976116d9c75

因此第一题“攻击者的外网IP地址”的答案是：8.219.200.130。

二、攻击者的内网跳板IP地址

继续排查桌面的文件，打开《phpStudy - 修复》文件后，使用命令netstat -nao会发现存在与内网IP地址192.168.20.129的网络连接。

右键选择“编辑”，发现是一个bat脚本，会去http://192.168.20.129:801/a下载恶意程序。

因此第二题“攻击者的内网跳板IP地址”的答案是：192.168.20.129。

三、攻击者使用的限速软件的md5大写

继续排查桌面的文件，发现“P2P终结者”，该软件可以限制局域网用户的网速，相关知识可以查看文章：https://blog.csdn.net/weixin_73636162/article/details/127162089。

右键选择“打开文件位置”可以进入程序目录。

使用命令certutil -hashfile p2pover.exe MD5计算MD5值，但并不是答案。

可能答案是要安装包的MD5值，在文件浏览器中搜索“p2pover”可以搜到安装包，打开文件位置后使用命令certutil -hashfile p2pover4.34.exe MD5计算MD5值得到答案。

因此第三题“攻击者使用的限速软件的md5大写”的答案是：2A 5D 88 38 BD B4 D4 04 EC 63 23 18 C9 4A DC 96。

四、攻击者的后门md5大写

第一题时已经排查过多个后门，均未有收获，此处最终排查发现存在粘滞键后门，相关知识可参考：https://www.cnblogs.com/MoZiYa/p/16690229.html。 

粘滞键程序是C:WindowsSystem32sethc.exe，打开文件位置后使用命令certutil -hashfile sethc.exe MD5计算MD5值得到答案。

因此第四题“攻击者的后门md5大写”的答案是：58 A3 FF 82 A1 AF F9 27 80 9C 52 9E B1 38 5D A1。

五、攻击者留下的flag

第四题的粘滞键后门，连续按5次shift键就能触发，触发后意外发现flag。

因此第五题“攻击者留下的flag”的答案是：flag{zgsf@shift666}。