内存取证-1
题目描述
题目文件:SERVER-2008-20241220-162057
请找到rdp连接的跳板地址
flag格式 flag{1.1.1.1}
先加载镜像
注意题目里面给到的信息,跳板=和主机建立连接,rdp默认运行端口是3389。查看一下和主机建立连接的端口和IP,这些端口服务很重要,列个表出来你们可以收藏,以后打靶机或者应急响应取证什么的都会遇到
查看一下网络信息
过滤3389
这里看到和主机连接的IP就是跳板了flag{192.168.60.220}
内存取证-2
题目描述
题目文件:SERVER-2008-20241220-162057
请找到攻击者下载黑客工具的IP地址
flag格式 flag{1.1.1.1}
这里找黑客下载的工具IP地址,我一开始以为黑客是通过浏览器下载的,我先是去查了浏览器记录发现是空的
因为前面查看进程的时候我看到了火狐的进程,浏览器看完了没有,检查了一下命令行进程,看到了黑客通过命令行下载了工具
拿到IP地址 flag{155.94.204.67} 这里猜测黑客进来之后只有一个shell命令行,黑客下载mimikatz是在获取用户的登录密码。用于提权
内存取证-3
题目描述
题目文件:SERVER-2008-20241220-162057
攻击者获取的“FusionManager节点操作系统帐户(业务帐户)”的密码是什么
flag格式 flag{xxxx}
这里提到了密码,上面查看命令信息的时候,看到了黑客查看了一个pass.txt的一个文件,我想这就是给我们的一个提示,直接找到文件打开看看,在命令信息里面知道pass.txt的文件位置在桌面上,文件扫描一下然后过滤pass.txt
选中右击文件导出
在文件槽打开后看见很多账户
找到业务账户密码 flag{GalaxManager_2012}
内存取证-4
题目描述
题目文件:SERVER-2008-20241220-162057
请找到攻击者创建的用户
flag格式 flag{xxxx}
直接查看系统有几个用户,查看系统信息
在系统信息里面看到用户有三个,administrator肯定不是那就是另外两个选择一个,通过Windows的SID比较应该是ASP.NET是黑客创建的用户
用户SID对比
|
|
|
|
|---|---|---|
|
|
|
|
|
|
|
|
|
|
|
|
flag{ASP.NET}
内存取证-5
题目描述
题目文件:SERVER-2008-20241220-162057
请找到攻击者利用跳板rdp登录的时间
flag格式 flag{2024/01/01 00:00:00}
查看黑客利用跳板登录的时间,需要看系统日志,日志里面找到时间。先导出系统日志。
通过文件扫描出所有文件,再查找日志文件的后缀名evtx
找到文件位置导出
修改后缀用电脑自带的事件查看器打开
找到登陆成功的事件(4624)
关键事件 ID 与检测场景
以下是常见的事件 ID 及其安全意义:
|
|
|
|
|---|---|---|
| 4624 |
|
|
| 4625 |
|
|
| 4672 |
SeDebugPrivilege) |
|
| 4688 |
|
mimikatz.exe)。 |
| 4697 |
|
|
| 4698 |
|
|
| 4702 |
|
|
| 5140 |
|
|
| 4673 |
|
|
得到登录时间 flag{2024/12/21 0:15:34}
内存取证-6
题目描述
题目文件:SERVER-2008-20241220-162057
请找到攻击者创建的用户的密码哈希值
flag格式 flag{XXXX}
用户密码哈希
这里得到了用户密码的哈希值,注意了这里有两条第一条是lmhash是空密码的哈希,第二条才是有密码的哈希。这里的用户都是有密码的所有是第二条,flag{5ffe97489cbec1e08d0c6339ec39416d}
到这里就结束了。补充一点关于lovelymem的更新问题,从资源包里面下载的是有启动器的,更新需要去Tokeii佬的GitHub上面下载文件解压拖进启动器的文件夹里面把原来的文件替换掉,就等于更新完成了
地址:https://github.com/Tokeii0/LovelyMem
大家记得给Tokeii佬点点started
原文始发于微信公众号(信安一把索):内存取证 - 练习篇2(Lovelymem一把梭)
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论