玄机靶场|钓鱼事件应急

1.攻击者通过钓鱼攻击拿下来目标主机，请给出攻击者钓鱼使用的漏洞编号，flag格式:flag{CVE-2019-13514}

2.给出钓鱼程序下载木马的地址，flag格式:

flag{http://127.0.0.1:3000/shell.exe}

3.给出远控木马的小写md5，flag格式：flag{md5(shell.exe)}

4.给出远控木马程序的服务端IP：flag格式：flag{127.0.0.1}

5.给出攻击者在横向中上传的内网扫描工具位置，flag格式：flag{C:Program Files (x86)Mozilla Firefoxfontsa.exe}

6.给出攻击者在权限维持中创建的服务名称，flag格式:flag{sc_name}

7.给出攻击者创建影子账户的名称，flag格式：flag{username}

8.给出攻击者第一次成功远程登入系统的时间flag格式：flag{ 2024-01-01 01:01:01}

9.攻击者在横向中创建了一个端口转发规则，给出转发的目的IP地址和端口，flag格式:flag{127.0.0.1:3389}

根据这个可以猜测出来该文件为恶意文件，并且是利用winrar的漏洞，利用过该漏洞的大哥应该能直接看出来，如果没看出来是哪个漏洞，可以直接将该文件放入云沙箱中，可以直接看到为：CVE-2023-38831

根据上步的反编译结果可以看到木马存储的地址为C:\Users\Administrator\AppData\Local\Temp\7z.exe，进入这个目录，但是进入之后发现并没有。

因为此文件被隐藏了，通过dir /ah可以看到

通过attrib -h -s  7z.exe 命令显示出来，通过certutil -hashfile 7z.exe MD5查看文件的md5。

运行7z.exe，并且通过抓包工具Microsoft Network Monitor 可以看到该程序不断地向一个指定ip发送请求。

Ip为：192.168.229.136

在c:/windows/temp目录中可以看到fscan.exe

在系统日志中筛选日志id:7045

可以看到7z.exe被创建为了一个mysql服务，服务名为:MysqlServer，很明显了。

影子账户的排查再为基础不过了，在任务管理器中就可以直接看到了。

筛选安全日志，4624，发现攻击者ip 192.168.229.136第一次登入hack$账户的时间为2024-09-22 13:15:11。

Windows可以通netsh进行端口转发，使用netsh interface portproxy show all即可查看

目的ip为10.10.10.103目标端口为3389

原文始发于微信公众号（EDI安全）：玄机靶场|钓鱼事件应急【文末抽奖】