分享应急响应排查——windows应急响应详细解析
分享应急响应排查——windows应急响应详细解析
原创 神农Sec 神农Sec 2025-01-01 02:00
扫码加圈子
获内部资料
网络安全领域各种资源,学习文档,以及工具分享、前沿信息分享、POC、EXP分享。
不定期分享各种好玩的项目及好用的工具,欢迎关注。
0x1 前言
|
题序 |
题目 |
答案 |
|
1 |
1.请提交攻击者攻击成功的第一时间,格式:YY:MM:DD hh:mm:ss |
2023:22:45:23 |
|
2 |
2.请提交攻击者的浏览器版本 |
Firefox/110.0 |
|
3 |
3.请提交攻击者目录扫描所使用的工具名称 |
Fuzz Faster U Fool |
|
4 |
4.找到攻击者写入的恶意后门文件,提交文件名(完整路径) |
C:\phpstudy_pro\WWW\x.php |
|
5 |
5.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径) |
C:\phpstudy_pro\WWW\usr\themes\default\post.php |
|
6 |
6.请提交内存中可疑进程的PID |
2176 |
|
7 |
请提交攻击者执行过几次修改文件访问权限的命令 |
2 |
|
8 |
8.请指出可疑进程采用的自动启动的方式 |
.bat |
0x2 windows应急响应日志分析参考文章
-
https://blog.csdn.net/qq_38205354/article/details/122454417
-
https://www.cnblogs.com/v1vvwv/p/Windows-Emergency-Response.html
日志分析工具
Log
Parser
1
、登录成功的所有事件
LogParser
.
exe
- i
:
EVT
–
o
:
DATAGRID“SELECT *
FROM c:\Security.evtx where EventID=4624″
2
、指定登录时间范围的事件:
LogParser
.
exe
- i
:
EVT
–
o
:
DATAGRID“SELECT *
FROM c:\Security.evtx where TimeGenerated>’2018-06-19 23:32:11′ and TimeGenerated<‘2018-06-20 23:34:00’ and EventID=4624″
3
、提取登录成功的用户名和
IP
:
LogParser
.
exe
- i
:
EVT–
o
:
DATAGRID“SELECT EXTRACT_TOKEN(Message,13,’ ‘) as EventType,TimeGenerated as LoginTime,EXTRACT_TOKEN(Strings,5,’|’) as Username,EXTRACT_TOKEN(Message,38,’ ‘) as Loginip FROM c:\Security.evtx where EventID=4624”
4
、登录失败的所有事件:
LogParser
.
exe
- i
:
EVT
–
o
:
DATAGRID“SELECT *
FROM c:\Security.evtx where EventID=4625″
5
、提取登录失败用户名进行聚合统计:
LogParser
.
exe
–
i
:
EVT
“SELECT
EXTRACT_TOKEN(Message,13,’ ‘)
as EventType,EXTRACT_TOKEN(Message,19,’ ‘) as user,count(EXTRACT_TOKEN(Message,19,’ ‘)) as Times,EXTRACT_TOKEN(Message,39,’ ‘) as Loginip FROM c:\Security.evtx where EventID=4625 GROUP BY Message”
LogParser
.
exe
- i
:
EVT
–
o
:
DATAGRID“SELECT TimeGenerated,EventID,Message FROM c:\System.evtx where EventID=6005 or EventID=6006”
0x3 题目详情
1.请提交攻击者攻击成功的第一时间,格式:YY:MM:DD hh:mm:ss
2023:22:45:23
在
Windows
Server
2012
中,事件日志文件通常存储在以下目录下:
C
盘的
windows
\
System32
\
Winevt
\
Logs
也可以利用cmd然后输入
eventvwr.msc
查看日志内容,
里面可以进行日志的筛选、日志查找、日志保存、日志详细信息查看等操作。
这条日志是POST请求并且请求的登入响应的是302然后接下来就到了manage所以这条是成功登入的
管理员的请求也是首次攻击成功
2.请提交攻击者的浏览器版本
Firefox/110.0
查看日志的ua头能得到
3.请提交攻击者目录扫描所使用的工具名称
Fuzz Faster U Fool
4.找到攻击者写入的恶意后门文件,提交文件名(完整路径)
C:\phpstudy_pro\WWW\x.php
因为一般上传恶意后门文件大多后缀都是.php,所以直接在C盘本地查找.php,然后再挨个查看
后来在C:\phpstudy_pro\WWW目录下的x.php文件中,发现了恶意木马
5.找到攻击者隐藏在正常web应用代码中的恶意代码,提交该文件名(完整路径)
C:\phpstudy_pro\WWW\usr\themes\default\post.php
这里题目说的是web应用代码中的恶意代码,那么我们就在C:\phpstudy_pro\WWW下找,
就只有几个文件,那么我们就挨个看
发现post.php文件里面有个base64编码的内容,解码发现就是x.php的木马内容
6.请提交内存中可疑进程的PID
2176
win标直接右击,然后点击任务管理器:
通过任务管理器发现一个360.exe PID为 2176
通过资源检测器发现在对外进行连接
7.请提交攻击者执行过几次修改文件访问权限的命令
2
8.请指出可疑进程采用的自动启动的方式
.bat
在策略组->计算机配置->Windows设置->脚本(启动/关闭)->启动->属性 发现自启动了一个bat脚本
我们是神农安全,
点赞 + 在看
铁铁们点起来,最后祝大家都能心想事成、发大财、行大运。
内部圈子介绍
圈子专注于更新src相关:
1、维护更新src专项漏洞知识库,包含原理、挖掘技巧、实战案例
2、分享src优质视频课程
3、分享src挖掘技巧tips
4、微信小群一起挖洞
5、不定期有众测、渗透测试项目
6、需要职业技能大赛环境dd我
欢迎加入星球一起交流,券后价仅40元!!! 即将满200人涨价
长期更新,更多的0day/1day漏洞POC/EXP