载入虚拟机,开启虚拟机,点击“解题.exe”:
(账户密码:Administrator/zgsf@2024)
1、攻击者的外网IP地址
2、攻击者的内网跳板IP地址
3、攻击者使用的限速软件的md5大写
4、攻击者的后门md5大写
5、攻击者留下的flag
啧,不知道为什么这台虚拟机安装VMare Tools失败,不过没关系,用MobaXterm的RDP连接:
右键粘贴一些必要的工具:
我测,不兼容啊,没事,那就将一些可疑的东西下载到本地windows中,比如桌面上的几个word文档
将下载的四个word文档用奇安信沙箱跑一下:
发现学校放假通知-练习.doc里藏有宏病毒
得到外网IP:8.219.200.130
先显示隐藏的文件、文件夹和驱动器:
发现桌面上多了个lnk文件夹:
打开之后发现里面有个test.bat文件:
以记事本方式打开:
得到内网IP:192.168.20.129
查看一下学校放假通知-练习.doc的文件属性:
发现创建时间、访问时间、修改时间都是在同一天
查找 2024-05-06 创建的文件,输出到txt文件
#直接输出中文会乱码,先设置控制台编码再查找输出
chcp 65001
dir /TC /O-D /S | findstr "2024/05/06" > 1.txt
/TC:以通用格式显示文件的创建时间。
/O-D:按照创建时间降序排列。
/S:递归地搜索所有子目录。
(这里不知道为什么用powershell会停止运行,改成cmd倒是成功)
还是一样复制粘贴到本机windows打开:
没找到,但按理说,应该是在这块区域往上一部分找得到一个明显没见过的.exe程序的,但先别急,我还有一计,用everything搜索关键词“.exe”,并按时间排序,找到2024/05/06这段时间的文件:
但很可惜还是没有
后面发现在C:\PerfLogs\666\666\777\666\666\666\666\666\666\666\666\666\666\666中有一个p2pover4.34.exe:
我测,修改时间怎么是2014/08/04,what can i say?
搜索一下是什么软件:
居然是限速软件,那就将该软件复制粘贴到windows本机上,用“哈希计算器”查看md5值:
得到md5值:2A5D8838BDB4D404EC632318C94ADC96
检查启动项、计划任务、服务未发现异常,排查shift后门时(连续点击shift键5次),发现攻击者留的后门:
得到flag:flag{zgsf@shift666}
everything查找sethc.exe,复制粘贴到本机windows:
得到md5值:58A3FF82A1AFF927809C529EB1385DA1
总计一下:
1、8.219.200.130
2、192.168.20.129
3、2A5D8838BDB4D404EC632318C94ADC96
4、58A3FF82A1AFF927809C529EB1385DA1
5、flag{zgsf@shift666}
复制粘贴“解题.exe”到本机windows中运行(虚拟机看起来比较难受),不过问的md5是小写,但答案必须填大写
成功攻克该靶机!
