题目描述:
某台Windows服务器遭到攻击者入侵,管理员查看发现存在大量rdp爆破的请求,攻击者使用了不同位置的IP(此处模拟),进行爆破并成功,并成功进入了系统,进入系统后又做了其它危害性操作。
审计桌面的logs日志,定位所有扫描IP,并提交扫描次数
这里将日志文件下载使用linux里的工具进行统计。
在日志中搜索这些ip进行分析,192.168.150.67、192.168.150.33为恶意扫描ip。
flag{6385}
审计相关日志,提交rdp被爆破失败次数
通过事件日志进行查看,快捷键WIN+R输入 ‘eventvwr.msc’ 进入事件查看,点击安全,可以看到账户类操作日志。
事件ID为4625,可以看到登录失败次数为2594次。
flag{2594}
审计相关日志,提交成功登录rdp的远程IP地址,多个以&连接,以从小到大顺序排序提交
rdp登录成功的事件id是4624,使用FullEventLogView进行分析,导出日志进行分析。
使用FullEventLogView打开后,还需要设置一下高级选项,显示所有项目事件。
再进行时间排序。
最终统计得到ip。
还有个更方便的方法,事件ID筛选为4648,表示用使用凭据登录,挨个查看会更方便。
flag{192.168.150.1&192.168.150.128&192.168.150.178}
提交黑客创建的隐藏账号
快捷键WIN+R输入lusrmgr.msc,看到用户中hacker$以及属性及所属的组
flag{hacker$}
cmd命令
也可以使用命令<font style="color:rgb(51, 51, 51);">wmic useraccount get name</font>进行查看。
通过事件日志
创建用户的事件id为 4720
提交黑客创建的影子账号
影子账号真实环境中是无法在用户组/netuser/用户面板中看到,但是可以在注册表中看到并删除,快捷键WIN+R->regedit
注册表地址:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
操作删除000003EC后将不存在此用户信息。
flag{hackers$}
cmd命令
也可以使用命令<font style="color:rgb(51, 51, 51);">wmic useraccount get name</font>进行查看。
通过事件日志
创建用户的事件id为 4720
使用D盾
使用管理员权限运行后,可以快速查询到本系统中存在的影子用户和克隆账户。
黑客植入了一个远程shell,审计相关进程和自启动项提交该程序名字以及shell程序的连接IP+端口
排查思路如下
-
根据外联IP地址进行排查,在情报平台进行查询
-
根据端口进行排查,通常大端口或有特殊意义端口要确认
-
依次根据PID进行排查
使用netstat -nao查看到相应的端口状态,在后面看到可疑连接。
开机就外联了,这个时候我们应该联想到自启动,一般排查以下
- C:\Users\winlog\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
快捷命令:WIN+R shell:startup 将预自启动程序放入目录,会自启
- HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表自启动:快捷键:WIN+R->regedit 将绝对路径下程序进行字符串值保存会开机自启
- 搜索计划任务,进入任务计划程序,查看相关启动程序
已知PID为2884
tasklist | findstr "2884"查看到启动的文件为xiaowei.exe,但是不知道绝对路径。
也可以使用netstat -naob查看进程的启动程序和端口。
wmic process get name,executablepath,processid | findstr 2884获取PID的执行文件绝对路径
排查自启动问题,看到自启动方法为注册表开机自启
沙箱检查
可以将木马文件放到沙箱中运行查看外连情况,例如:微步云沙箱。
flag{xiaowei.exe}
flag{185.117.118.21:4444}
黑客使用了计划任务来定时执行某shell程序,提交此程序名字
实战中,攻击队或黑客为了权限维持,不会只放一个远控工具,一般会埋雷进行启动计划任务,根据上方思路排查到,计划任务程序中存在的计划,控制面板中找到计划任务。
flag{download.bat}
扫一扫
876
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
