扫码加圈子
获内部资料
网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。不定期分享各种好玩的项目及好用的工具,欢迎关注。
|
题序 |
题目 |
答案 |
|
1 |
1.请提交攻击者攻击成功的第一时间,格式:YY:MM:DD hh:mm:ss |
2023:22:45:23 |
|
2 |
2.请提交攻击者的浏览器版本 |
Firefox/110.0 |
|
3 |
3.请提交攻击者目录扫描所使用的工具名称 |
Fuzz Faster U Fool |
|
4 |
4.找到攻击者写入的恶意后门文件,提交文件名(完整路径) |
C:phpstudy_proWWWx.php |
|
5 |
5.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径) |
C:phpstudy_proWWWusrthemesdefaultpost.php |
|
6 |
6.请提交内存中可疑进程的PID |
2176 |
|
7 |
请提交攻击者执行过几次修改文件访问权限的命令 |
2 |
|
8 |
8.请指出可疑进程采用的自动启动的方式 |
.bat |
-
https://blog.csdn.net/qq_38205354/article/details/122454417
-
https://www.cnblogs.com/v1vvwv/p/Windows-Emergency-Response.html
日志分析工具 -LogParser1、登录成功的所有事件LogParser.exe-i:EVT –o:DATAGRID"SELECT *FROM c:Security.evtx where EventID=4624"2、指定登录时间范围的事件:LogParser.exe-i:EVT –o:DATAGRID"SELECT *FROM c:Security.evtx where TimeGenerated>'2018-06-19 23:32:11' and TimeGenerated<'2018-06-20 23:34:00' and EventID=4624"3、提取登录成功的用户名和IP:LogParser.exe-i:EVT–o:DATAGRID"SELECT EXTRACT_TOKEN(Message,13,' ') as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,'|') as Username,EXTRACT_TOKEN(Message,38,' ') as Loginip FROM c:Security.evtx where EventID=4624"4、登录失败的所有事件:LogParser.exe-i:EVT –o:DATAGRID"SELECT *FROM c:Security.evtx where EventID=4625"5、提取登录失败用户名进行聚合统计:LogParser.exe-i:EVT"SELECTEXTRACT_TOKEN(Message,13,' ')as EventType,EXTRACT_TOKEN(Message,19,' ') as user,count(EXTRACT_TOKEN(Message,19,' ')) as Times,EXTRACT_TOKEN(Message,39,' ') as Loginip FROM c:Security.evtx where EventID=4625 GROUP BY Message"LogParser.exe-i:EVT –o:DATAGRID"SELECT TimeGenerated,EventID,Message FROM c:System.evtx where EventID=6005 or EventID=6006"
1.请提交攻击者攻击成功的第一时间,格式:YY:MM:DD hh:mm:ss
2023:22:45:23
在WindowsServer2012中,事件日志文件通常存储在以下目录下:C盘的windowsSystem32WinevtLogs
也可以利用cmd然后输入eventvwr.msc查看日志内容,
里面可以进行日志的筛选、日志查找、日志保存、日志详细信息查看等操作。
这条日志是POST请求并且请求的登入响应的是302然后接下来就到了manage所以这条是成功登入的
管理员的请求也是首次攻击成功
2.请提交攻击者的浏览器版本
Firefox/110.0
查看日志的ua头能得到
3.请提交攻击者目录扫描所使用的工具名称
Fuzz Faster U Fool
4.找到攻击者写入的恶意后门文件,提交文件名(完整路径)
C:phpstudy_proWWWx.php
因为一般上传恶意后门文件大多后缀都是.php,所以直接在C盘本地查找.php,然后再挨个查看
后来在C:phpstudy_proWWW目录下的x.php文件中,发现了恶意木马
5.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)
C:phpstudy_proWWWusrthemesdefaultpost.php
这里题目说的是web应用代码中的恶意代码,那么我们就在C:phpstudy_proWWW下找,
就只有几个文件,那么我们就挨个看
发现post.php文件里面有个base64编码的内容,解码发现就是x.php的木马内容
6.请提交内存中可疑进程的PID
2176
win标直接右击,然后点击任务管理器:
通过任务管理器发现一个360.exe PID为 2176
通过资源检测器发现在对外进行连接
7.请提交攻击者执行过几次修改文件访问权限的命令
2
8.请指出可疑进程采用的自动启动的方式
.bat
在策略组->计算机配置->Windows设置->脚本(启动/关闭)->启动->属性 发现自启动了一个bat脚本
我们是神农安全,点赞 + 在看 铁铁们点起来,最后祝大家都能心想事成、发大财、行大运。
内部圈子介绍
圈子专注于更新src相关:
1、维护更新src专项漏洞知识库,包含原理、挖掘技巧、实战案例2、分享src优质视频课程3、分享src挖掘技巧tips4、微信小群一起挖洞5、不定期有众测、渗透测试项目6、需要职业技能大赛环境dd我
申明:本公众号所分享内容仅用于网络安全技术讨论,切勿用于违法途径,
所有渗透都需获取授权,违者后果自行承担,与本号及作者无关,请谨记守法.
原文始发于微信公众号(神农Sec):分享应急响应排查——windows应急响应详细解析
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论