应急响应靶机练习-win2008
应急响应靶机练习-win2008
y2xsec应急响应靶场练习
win2008
第一次做应急响应的靶机哈哈,感受一下,这个是夏令营的老师给的靶机,我也是跟着老师一步步做的,防止忘记就写了这篇文章,方便以后查看。
后门检测
nmap扫描到了ip
1 | Nmap scan report for 192.168.1.153 (192.168.1.153) |
可以看到3389端口是开着的,那么可以进行远程桌面,利用老师给的账号密码登录上去
1 | administrator |
为了方便接下来应急工具的使用,这里需要建立一个共享文件:
1 | rdesktop 192.168.1.153 -r disk:LinuxPictures=~/桌面 |
然后进入桌面,把一些需要用到的应急响应的工具上传上去。
首先可以看到桌面上有一个tomcat文件夹,应该是web服务,既然是web服务那么应该有日志文件:
1 | C:\Users\Administrator\Desktop\tomcat\logs |
其中有一个文件可疑,占了1104KB,一般日志没有这么大,除非就是有人去攻击这台主机。
从日志文件里可以看到攻击者应该是靠该web框架upload文件来上传后门:
1 | 13.5.77.21 - tomcat [28/Mar/2021:23:03:46 +0800] "POST /manager/html/upload?org.apache.catalina.filters.CSRF_NONCE=9671D7D70429C9D721B9A563DF775365 HTTP/1.1" 200 17588 |
接下来打开D盾进行扫描,发现了两个可疑文件tt1.jsp和JspSpy.jsp,先传到kali本地,然后去浏览器找在线微步云沙箱。
把两个可疑文件上传到云沙箱后,结果检测两个都是后门,并且会检测当前的操作系统信息,还会篡改注册表。
隐藏用户
打开pchunter软件,这个软件可以查看进程信息,也可以查看用户信息,在系统杂项-系统用户名下发现了两个隐藏用户
1 | test$ |
计划任务
计划任务的文件路径:
1 | C:\Windows\System32\Tasks\Microsoft\Windows\Autochk |
在该路径下发现了两个文件:
1 | proxy |
上面两个文件有提到两个路径,以文件形式打开:
1 | proxy:%windir%\system32\rundll32.exe |
然后就去路径下找到这两个文件,然后丢到云沙箱检测:
1 | rundll32.exe:这个可执行文件存在调试数据库文件(PDB)路径 |
rundll32.exe可能没什么,但是FoxitPhantomPDF.exe应该就是一个木马,而且可能是维持权限的。
注册表检测
win+R打开运行框,输入regedit打开注册表查看启动项文件,默认路径如下:
1 | HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run |
在Run文件下发现了可疑文件——FoxitPhantomPDF.exe(也就是刚刚在计划任务里发现的文件):
1 | C:/Program Files/Common Files/FoxitPhantomPDF.exe |
根据路径可以找到文件,这个文件伪装成pdf文件,但是注册表暴露了它,传回到kali,丢到云沙箱查看:
1 | 释放了一个二进制文件并执行 |
经过查找,在文件找到了一个ip,可能是攻击者的ip:
1 | 160.116.118.87 |
总结
还是挺简单的,当然这次是跟着老师一步一步做的,下次就该单独做了,mimikatz的需要查看系统日志,后面我找到了再更新这篇文章。
1 | 爆破Tomcat后台 |
