LoginSignup
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?

More than 1 year has passed since last update.

お題は不問!Qiita Engineer Festa 2024で記事投稿!
Qiita Engineer Festa20242024年7月17日まで開催中!
@kk0128

【TryHackMe】Investigating Windows:Walkthrough

Posted at

概要

TryHackMe「Investigating Windows」のWalkthroughです。

Task1

Q1.Whats the version and year of the windows machine?

コマンドプロンプトからバージョン、年代を確認できました。

q1.png

A.Windows Server 2016

Q2.Which user logged in last?

Hint.That's you just now. But, who logged in before you?

Event Viewr->Windows Logs->securityでログインのログを見ます。

q2.png

A.Administrator

Q3.When did John log onto the system last?Answer format: MM/DD/YYYY H:MM:SS AM/PM

Hint.Try using cmd to find this out

LogonのイベントIDは4624なのでフィルタリングします。

q3 filter.png

そして文字列検索でJohnを検索し最終ログイン日を調べます。

q3 find.png

A.03/02/2019 5:48:32 PM

Q4.What IP does the system connect to when it first starts?

レジストリのHKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runでスタートアッププログラムを調べます。

q4.png

A.10.34.2.3

Q5.What two accounts had administrative privileges (other than the Administrator user)?Answer format: username1, username2

net localgroup administratorsコマンドでグループに所属しているユーザーを調べます。

q5.png

A.Jenny, Guest

Q6.Whats the name of the scheduled task that is malicous.

Get-ScheduledTaskでスケジュールされたプログラムを閲覧し悪意のあるプログラムを探します。

q6.png

A.Clean file system

Q7.What file was the task trying to run daily?

タスクスケジューラーを開いて毎日実行するプログラムを発見します。

q7.png

A.nc.ps1

Q8.What port did this file listen locally for?

プログラムの引数でリッスンしているポートが分かります。

q7.png

A.1348

Q9.When did Jenny last logon?

net user jennyコマンドでログイン履歴を調べます。

q9.png

A.Never

Q10.At what date did the compromise take place?Answer format: MM/DD/YYYY

タスクスケジューラーのファイルが作成された日付で推測できます。

q10.png

A.03/02/2019

Q11.During the compromise, at what time did Windows first assign special privileges to a new logon?Answer format: MM/DD/YYYY HH:MM:SS AM/PM

Hint.00/00/0000 0:00:49 PM

タスクスケジューラーのファイル作成日で絞って、イベントID4672(新しいログオンに特権が付与された時のもの)で検索します。

q11 filter.png

ヒントから日付を予測しました。

q11.png

A.03/02/2019 4:04:49 PM

Q12.What tool was used to get Windows passwords?

/tmp/mim.exeがあり定期的にMimikatzが実行されていると分かります。
/tmp/mim-out.txtに情報を保存していると分かりました。

q12.png

A.Mimikatz

Q13.What was the attackers external control and command servers IP?

C:\Windows\System32\drivers\etc\hostsで怪しいエントリーを調べます。

q13.png

A.76.32.97.132

Q14.What was the extension name of the shell uploaded via the servers website?

C:\inetpub\wwwroot配下を調べます。

q14.png

A..jsp

Q15.What was the last port the attacker opened?

Hint.Firewall

Firewall受信ルールの一番上にあるエントリーを確認します。

q15.png

A.1337

Q16.Check for DNS poisoning, what site was targeted?

C:\Windows\System32\drivers\etc\hostsファイルから確認できます。

q13.png

A.google.com

1
0
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
1
0

Delete article

Deleted articles cannot be recovered.

Draft of this article would be also deleted.

Are you sure you want to delete this article?