windwos应急响应
第一题,勒索病毒名字
这个就比较简单,直接打开任务管理器 查看进程服务,找到比较可以的进程就可以了,。
第二问开始勒索的时间
假如是给wps文件是被勒索的文件,怎么查看他的开始时间呢?
点击转到详细信息
点属性
这两个时间填写那个时间豆都可以。
然后第三问判断遭受的是smp攻击还是rdp攻击
这个直接查看登陆事件,
身份颜值数据包这里是这个就是rdp方式
永恒之蓝的连接方式就是smp,都会产生登录日志。
第四问爆破登录成功的时间
这个题很搞,假如爆破持续的时间是03-13分钟,然后在第七分钟的时候有一条登陆成功信息,但是他爆破不会停止,会继续爆破,可能在12又出现一条爆破成功的信息,我们就习惯性看后面,然后看到了12把12分钟爆破成功交了上去,然后他妈的就错了。
所以要看仔细了选择第一次显示登陆成功的。
第五问是否收到we攻击
是
第六问webshell的上传时间
思路一,在上传的文件夹里,大概就是叫upload的文件夹,里面找到后门文件,右键属性查看他的创建时间。
思路二,查看日志,看日志里面post上传后门文件的时间。
以我主机phpstudy的为例,在这里查看web日志分析。
第七问攻击的IP
这个也在web日志里面查看
第八问,webshell的密码是什么
这个是在找到上传文件的位置,然后查看文件就能看到对应的webshell密码。
第九问是否有其他进程利用漏洞
这个要要有清楚的思路,比如我们做渗透的时候已经拿到了webshell,如果在写一个进程,只有两种可能提权或者维权,这里明显提权的可能性更大。
这个维权隐蔽性比较强,我们打开系统服务进程,可能一开始查看不到,他可能隔一会启动一次的那种;还有可能是需要输入命令才能启动,
命令查看所有进程,
然后在找到有嫌疑进程的pid号,继续查
查看进程的详细信息,地址也有显示
语法就是 mvic process where "Nnme='msedge.exe' "
然后在指定文件夹目录里面找到恶意进程exe,就是维权的进程提交上去
第十问是否创建了系统账户
是
第十一问创建的系统账户名字是什么
,net user查看
如果net user查不到,就查注册表
如果点开的时候,发现没有这些权限,执行以下操作
勾选上完全控制,再打开就有了。
网络流量包分析
第一问攻击者的ip
流量包分析是很好找的
第二问通过那个端口访问到了web页面
查看登陆成功的数据包,追踪tcp流,查看host,就可以看到ip后门跟谁的端口号
第三问目录扫描工具是什么
查看爆破时候404报错的ua头信息,可以看到它使用的什么攻击
第四问登陆的页面的目录名
这个目录扫描成功的目录就行
第五问登录成功的账号密码
这个等号账号是post方式,过滤post格式,发现只有一个请求,打开看大写的字母,账户密码北base64加密了,解密出来就是admin和密码
第六问上传木马的文件名字
在唯一一个post请求里面,下面就是一句话木马文件,叫shell.php。
但是比赛的时候是一个rar的压缩包文件,但这个理由的是tomcat的漏洞,上传之后,tomcat会自动解压缩,所以他就是木马文件
第七问反弹shell的命令
这个题目当时作者是直接在查看上传文件的tcp流中,点的箭头指向的向下翻的按钮,就看到了反弹shell的命令。
fa
cai