Hack The Box-Sherlocks-Tracer

这篇具有很好参考价值的文章主要介绍了Hack The Box-Sherlocks-Tracer。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

靶场介绍

A junior SOC analyst on duty has reported multiple alerts indicating the presence of PsExec on a workstation. They verified the alerts and escalated the alerts to tier II. As an Incident responder you triaged the endpoint for artefacts of interest. Now please answer the questions regarding this security event so you can report it to your incident manager.

一名初级SOC值班分析师报告了多个警报,表明工作站上存在PsExec。他们验证了警报,并将警报升级到第二级。作为事件响应者,您对端点进行了感兴趣的人工制品的分类。现在,请回答有关此安全事件的问题,以便向事件经理报告。

Task 1

The SOC Team suspects that an adversary is lurking in their environment and are using PsExec to move laterally. A junior SOC Analyst specifically reported the usage of PsExec on a WorkStation. How many times was PsExec executed by the attacker on the system?

SOC团队怀疑对手潜伏在他们的环境中,并使用PsExec进行横向移动。一位初级SOC分析师专门报告了工作站上PsExec的使用情况。攻击者在系统上执行了多少次PsExec?

查看system.evtx日志文件,按照给定的要求搜索

Hack The Box-Sherlocks-Tracer,HTB-Sherlocks靶场合集,windows,tcp/ip,tcpdump

Hack The Box-Sherlocks-Tracer,HTB-Sherlocks靶场合集,windows,tcp/ip,tcpdump

一共出现了9次

Task 1:9

Task 2

What is the name of the service binary dropped by PsExec tool allowing attacker to execute remote commands?

允许攻击者执行远程命令的PsExec工具丢弃的服务二进制文件的名称是什么?

查看详细的数据包

Hack The Box-Sherlocks-Tracer,HTB-Sherlocks靶场合集,windows,tcp/ip,tcpdump

执行的文件名为PSEXESVC.exe

Task 2:PSEXESVC.exe

Task 3

Now we have confirmed that PsExec ran multiple times, we are particularly interested in the 5th Last instance of the PsExec. What is the timestamp when the PsExec Service binary ran?

现在我们已经确认PsExec运行了多次,我们对PsExec的第五个Last实例特别感兴趣。PsExec服务二进制文件运行时的时间戳是多少?

由题目可知我们看的是第五次运行的exe文件从下往上数第五个,将其时间转化为UTC+0

Hack The Box-Sherlocks-Tracer,HTB-Sherlocks靶场合集,windows,tcp/ip,tcpdump

Task 3:07/09/2023 12:06:54

Task 4

Can you confirm the hostname of the workstation from which attacker moved laterally?

您能确认攻击者横向移动的工作站的主机名吗?

查看Security.evtx文件,搜索administrator用户,查看该用户登录了哪些工作组

Hack The Box-Sherlocks-Tracer,HTB-Sherlocks靶场合集,windows,tcp/ip,tcpdump

发现一个登录失败的记录

Task 4:FORELA-WKSTN001

Task 5

What is full name of the Key File dropped by 5th last instance of the Psexec?

Psexec的第五个最后一个实例丢弃的密钥文件的全名是什么?

使用MFTECmd工具将$J文件转化为csv文件打开查看

MFTECmd.exe -f "C:\Desktop\C\$Extend\$J" --csv "./" --csvf "$J.csv"

查找key文件

Hack The Box-Sherlocks-Tracer,HTB-Sherlocks靶场合集,windows,tcp/ip,tcpdump

结果即为答案

Task 5:PSEXEC-FORELA-WKSTN001-95F03CFE.key

Task 6

Can you confirm the timestamp when this key file was created on disk?

你能确认这个密钥文件在磁盘上创建的时间戳吗?

直接能够看出创建的时间

Hack The Box-Sherlocks-Tracer,HTB-Sherlocks靶场合集,windows,tcp/ip,tcpdump

Task 6:07/09/2023 12:06:55

Task 7

What is the full name of the Named Pipe ending with the “stderr” keyword for the 5th last instance of the PsExec?

PsExec最后第五个实例的以“stderr”关键字结尾的命名管道的全名是什么?

查看Microsoft-Windows-Sysmon%4Operational.evtx日志,设置条件

Hack The Box-Sherlocks-Tracer,HTB-Sherlocks靶场合集,windows,tcp/ip,tcpdump

Hack The Box-Sherlocks-Tracer,HTB-Sherlocks靶场合集,windows,tcp/ip,tcpdump

从下往上数,第五个创建的管道即为答案:\PSEXESVC-FORELA-WKSTN001-3056-stderr

Task 7:\PSEXESVC-FORELA-WKSTN001-3056-stderr文章来源地址https://www.toymoban.com/news/detail-808887.html

到了这里,关于Hack The Box-Sherlocks-Tracer的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • Hack The Box - 关卡Dancing

    SMB(全称是Server Message Block)是一个协议名,可用于在计算机间共享文件、打印机、串口等,电脑上的网上邻居就是靠它实现的。 SMB 是一种客户机/服务器、请求/响应协议。通过 SMB 协议,客户端应用程序可以在各种网络环境下读、写服务器上的文件,以及对服务器程序提出服务

    2024年02月06日
    浏览(38)
  • Hack The Box - Three(新手友好)

    环境给了一个IP,nmap信息搜集一波 访问10.129.126.35:80,收集有用信息(渗透测试==信息收集) thetoppers.htb应该是域名,把域名和IP加到hosts文件中,tee命令的作用就是读取标准输入内容,将读取到的内容数据写入到标准输出和文件中。 再次访问和之前页面一样,尝试子域名爆破,

    2024年02月07日
    浏览(34)
  • 【Hack The Box】windows练习-- devel

    【Hack The Box】windows练习-- devel 🔥系列专栏:Hack The Box 🎉欢迎关注🔎点赞👍收藏⭐️留言📝 📆首发时间:🌴2022年10月28日🌴 🍭作者水平很有限,如果发现错误,还望告知,感谢! ftp允许匿名登陆 还有一个80页面 匿名登陆 Anonymous 发现有一个图片,get下载到本地之后发现

    2024年02月08日
    浏览(45)
  • 【Hack The Box】windows练习-- legacy

    【Hack The Box】windows练习-- legacy 🔥系列专栏:Hack The Box 🎉欢迎关注🔎点赞👍收藏⭐️留言📝 📆首发时间:🌴2022年9月7日🌴 🍭作者水平很有限,如果发现错误,还望告知,感谢! 信息收集的手法与linux一致 namo即可 发现存在的服务是445,并且nmap跑出来的是winxp 或者200

    2024年02月09日
    浏览(41)
  • Hack The Box - TIER 2 - Archetype Oopsie Vaccine Unified

    这个阶段的,终于不是之前的傻乎乎操作了,到这我才知道,那些问答不是先问答再渗透的。原来是渗透一步回答相应问题,这里涉及到了许多工具、脚本、提权、端口等知识点,收获丰富。 TASK 1 Which TCP port is hosting a database server? 哪个 TCP 端口托管数据库服务器? 答案:1

    2024年02月05日
    浏览(45)
  • Hack The Box -SQL Injection Fundamentals Module详细讲解中文教程

    数据库介绍............................................................................................................... 3 数据库管理系统(DBMS)介绍........................................................................... 3 数据库的类型..................................................................................................

    2024年02月04日
    浏览(31)
  • CSS Hack是什么?ie6,7,8的hack分别是什么

    CSS Hack是一种针对不同浏览器(如Internet Explorer、Firefox、Opera等)的CSS样式特殊写法,通过使用不同的CSS语法或者使用特定条件的判断语句,让CSS代码能够针对不同的浏览器进行差异化渲染,从而达到兼容的目的。 对于Internet Explorer 6、7、8,CSS Hack主要有以下几种写法: 条件

    2024年01月22日
    浏览(37)
  • 面试题更新之-CSS Hack是什么?ie6,7,8的hack分别是什么?

    面试题更新之-CSS Hack是什么?ie6,7,8的hack分别是什么? CSS Hack指的是在CSS中使用一些特定的代码或技巧,通过利用不同浏览器对CSS实现的解析和支持程度的差异以达到不同浏览器下兼容性的目的。CSS Hack可以用于解决不同浏览器之间的样式显示差异问题,尤其是旧版本的Interne

    2024年02月16日
    浏览(39)
  • 什么是CSS Hack

    CSS hack是一种通过在CSS样式中加入一些特殊的符号,让不同的浏览器识别不同的符号,以达到应用不同的CSS样式的目的。 CSS hack的原理是由于不同厂商的浏览器或某浏览器的不同版本(如IE6-IE11,Firefox/Safari/Opera/Chrome等),对CSS的支持、解析不一样,导致在不同浏览器的环境中

    2024年01月22日
    浏览(32)
  • [渗透教程]-008-hack toolbox

    路由器-internet 主路由,二级路(由xx上网,去

    2023年04月25日
    浏览(33)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包