靶场:https://pan.quark.cn/s/4b6dffd0c51a
工具:夸克网盘分享
前景需要:小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。
题目:
1.攻击者的外网IP地址
2.攻击者的内网跳板IP地址
3.攻击者使用的限速软件的md5大写
4.攻击者的后门md5大写
5.攻击者留下的flag
账户Administrator
密码zgsf@2024
进入后发现有个phpstudy-修复还是exe文件,明明有个phpstudy,还要有个修复有点可疑,发现属性中还有个隐藏bat文件
在该文件中找到了这个
这应该是内网跳板IP地址:192.168.20.129
查看日志文件也没有看到什么有用信息
但是又可以看到桌面上还有很多的文件,比如
打开后都没有发现有用信息,内容都是正常的
我们可以进行沙盒检测
沙箱检测
沙箱扫描网站:https://s.threatbook.com/
把4个文件上传,使用沙箱进行扫描,之后发现学校放假通知-练习.doc是恶意文件
可以看 学校放假通知-练习.doc 网络行为进行分析时可以看到目的ip地址为8.219.200.130
所以攻击者的外网IP地址为8.219.200.130
可以在c盘中找一下有没有别的隐藏文件
找到了p2pover4.34.exe
上网查了一下这是个网络流量管理软件
最后按5次shift,发现flag,是shilt后门,还找到后门文件
flag{zgsf@shift666}文件是sethc.exe
发现后门文件在以c:\windows/system32
计算出该文件的md5为
58a3ff82a1aff927809c529eb1385da1
p2pover4.34.exe也可以这然计算md5
2a5d8838bdb4d404ec632318c94adc96
扫一扫
359
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
