知攻善防靶场-Win2008R2近源应急响应

UWI Lv4
  2025-11-11 11:50:24 2025-11-11 11:50:24 Created   2025-11-14 10:49:57 2025-11-14 10:49:57 Updated      

提升一下应急响应的能力 遂开启应急响应新篇章

题目和题解:

小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。

1.攻击者的外网IP地址

2.攻击者的内网跳板IP地址

3.攻击者使用的限速软件的md5大写

4.攻击者的后门md5大写

5.攻击者留下的flag

攻击者的外网IP地址

一开始以为是phpstudy 的web上webshell了

image-20251111131854336

后来观察了一下日志里面

发现没有access日志 然后看了看这里有这么多word文档文件 那估计就是宏病毒了

这里本来想通过rdp的挂载功能把所有word文件复制一份到我本机的挂载目录 结果刚复制了一份本机的火绒就报毒了,所以八九不离十就是宏病毒了

image-20251111132205107

丢到微步沙箱看看

image-20251111132902315

现在找找外联ip是啥

既然我们已经知道这玩意是宏病毒了 我们就直接找到他的宏代码 然后丢给ai分析就完了

image-20251111133307529

image-20251111183152485

成功找到外联ip 8.219.200.130

第二中方法

我们重新打开这个word文件然后查看 netstat -ano 也是能看到外联ip的

image-20251111133840492

攻击者的内网跳板IP地址

查看这个木马文件的属性可以看到他上传的日期 是 2024.5.6

image-20251111190508976

那么所有攻击这留下的痕迹都是再这个时间之后的

那么我就直接用everything 定位所有在这个文件之后修改日期更新的文件

1
C:\Users dm:2024-05-06..2024-05-09

image-20251111190748459

然后我把这些文件统一复制到一个目录里 然后直接用火绒开扫

可以看到扫出来两个有问题的文件

image-20251111190831009

但是这个bat文件我死活找不到在哪

后来才想起来 windows 有隐藏文件的功能

image-20251111190948905

看看这个bat 捕获到跳板机的ip了 192.168.20.129

image-20251111191046161

攻击者使用的限速软件的md5大写

同样想用时间区间的方法来定位这个限速软件但是 似乎没有找到

image-20251111194608528

应该是吧修改日期给改了

直接换一个搜法 搜创建日期

1
C: dc:2024-05-06..2024-05-09 exe

image-20251111202905064

image-20251111195827224

攻击者的后门md5大写

同样发现个python写的sethc.exe文件很可疑

image-20251111201328099

见名知意

image-20251111201430959

粘滞键后面

连按5下shift

image-20251111201520940

计算这个文件的md5就是答案了

攻击者留下的flag

上面的后门弹框中已经告诉你了flag

总的来说就是用时间定位大法就能跟踪到

  • Title: 知攻善防靶场-Win2008R2近源应急响应
  • Author: UWI
  • Created at : 2025-11-11 11:50:24
  • Updated at : 2025-11-14 10:49:57
  • Link: https://nbwsws.github.io/2025/11/11/应急响应/Win2008R2近源应急响应/
  • License: This work is licensed under CC BY-NC-SA 4.0.
Comments
On this page
知攻善防靶场-Win2008R2近源应急响应
  1. 攻击者的外网IP地址
  2. 攻击者的内网跳板IP地址
  3. 攻击者使用的限速软件的md5大写
  4. 攻击者的后门md5大写
  5. 攻击者留下的flag