应急响应靶场（近源渗透OS

声明：1.实验靶场均来自知攻善防公众号，需要练习的同学自行去下载

           2.虚拟机需要编辑.ovf文件，与虚拟机版本号相对应方可启动

           3.需要配合知攻善防公众号的蓝队应急响应工具完成题解

本次实验为作者随笔，仅供参考！

一、近源渗透OS-1

1.题目要求

2.RDP远程桌面连接

  先获取虚拟机Ip地址，在本机远程桌面连接，输入ip，密钥凭证（虚拟机账号密码）

这样就可以成功登录

3.奇安信沙箱分析

将桌面上的学校放假通知.docx拿去沙箱中分析，这里百度找的qax沙箱

跑出来ip地址：8.219.200.130，确定为外网攻击地址

4.寻找隐藏文件

在phpstudy修复下面看到有一个隐藏文件地址

文件夹设置一下下面显示一下隐藏文件

根据路径找到这个.bat文件

得到内网跳板ip地址：192.168.20.129

5.寻找劫持工具（限速软件）

已知是ARP劫持，我们需要寻找是什么工具劫持

找到c盘的如下路径：

C:PerfLogs666666777666666666666666666666666666666666

P2P终结者4.34，我们去百度一下

计算一下这个exe文件的hash

这里是知攻善防的蓝队应急响应工具计算hash工具，得到md5值：

2A5D8838BDB4D404EC632318C94ADC96

6.后门查找

最后一个后门，我们连点5次shift，跳出如下窗口

flag{zgsf@shift666}

找到C:WindowsSystem32下面后门软件

放到hash工具中分析md5值：

58A3FF82A1AFF927809C529EB1385DA1

7.提交题解

最后把上面标蓝的答案填入题解.exe中

二、挖矿事件

1.题目要求

2.端口开放

  我们用远程桌面可以连接到此靶场，猜测为3389端口开放。（cmd输入ipconfig查看靶场ip，在物理机远程连接输入密钥即可。本题不用连接在虚拟机也可以完成）

3.查找挖矿木马并计算hash

任务管理器查看是哪个程序造成的cpu飙升

基本可以确定他是个挖矿木马

拉到我们有应急工具（知攻善防蓝队应急包）的地方，计算它的hash值。

挖矿程序md5值：

A79D49F425F95E70DDF0C68C18ABC564

4.火绒剑查找异常

上传火绒剑查看异常，不知道为什么我的应急响应工具不支持打开火绒剑，一直提示版本异常要求重启。但是重启还是没有效果。

找到如下脚本，编辑查看：

记录一下钱包地址待会需要输入：

4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

破解systems.bat的hash值

挖矿脚本（后门程序）的hash：8414900F4C896964497C2CF6552EC4B9

在上述编辑中找到的这个网址c3pool.org，弹出如下网页

根据上述找到的钱包地址登陆进去查看：

4APXVhukGNiR5kqqVC7jwiVaa5jDxUgPohEtAyuRS1uyeL6K1LkkBy9SKx5W1M7gYyNneusud6A8hKjJCtVbeoFARuQTu4Y

不理解这个干嘛用的

5.日志分析

查看桌面上的表格

密码都是一样的，说明可能是攻击者在拿到一台的密码后进行的密码喷洒

右键双击Windows日志一键分析，上传至服务器

发现有暴力破解的痕迹。其中还有记录的时间和ip地址

2024-05-21 20:25:22         192.168.115.131 

6.提交题解

根据上述标蓝答案提交题解

相关知识

应急响应靶场（近源渗透OS
【护网急训】应急响应靶场集，24年想参加hvv的同学抓紧练习吧。
【应急响应靶场web1】
知攻善防靶机应急响应近源渗透
【题解】应急响应靶机训练
应急响应web3靶场实战
[护网训练]原创应急响应靶机整理集合
知攻善防应急响应靶机训练
[护网训练]应急响应靶机整理
简单的应急响应练习

网址: 应急响应靶场（近源渗透OS https://www.mcbbbk.com/newsview206389.html