电脑疯子技术论坛|电脑极客社区

微信扫一扫 分享朋友圈

已有 694 人浏览分享

HTB-蓝队入门

[复制链接]
694 0
本帖最后由 zhaorong 于 2022-5-16 14:26 编辑

前言

HTB是大三时期一直想氪的一个平台,比较适合做一个方向上的深入学习。可惜大学生太穷了只能工作
后找个小伙伴AA,勉强付起这个昂贵的VIP。蓝队系列是我第一个开始学习(复习)的模块,需要好好
记录下~也给想练HTB,但英语不好的同学一点帮助。

Chase-easy

简介:One of our web servers triggered an AV alert, but none of the sysadmins say they were logg
ed onto it. We've taken a network capture before shutting the server down to take a clone of thed
isk. Can you take a look at the PCAP and see if anything is up?

大概翻译就是:我们的一台web服务器触发了AV警告,但没有一个管理员表示他们曾经登陆过。在关闭服务器以
克隆磁盘之前,我们已经进行了网络捕获。让我看看PCAP的数据包,究竟被黑客打到了什么程度。

题目是给到的一个数据包,不得不吐槽的就是找了半天密码,原来就写我脸上了。。

QQ截图20220516115036.png

压缩包解压之后是一个PCAP的文件,拿到包前先statistics-》Capture File Properties看下数据包大小
截取时间操作系统等等基本信息,如果单纯是CTF的话帮助或许不大,但是在蓝军视角,获取更多的数
据会更有助于我们定位问题。

QQ截图20220516115121.png

数据包基本上是22.22.22.7与22.22.22.5通信,且量不大,很容易看到5号机器通过一个HTTP GET
请求获取7号机器上的nc64.exe。

QQ截图20220516115204.png

作为一个完整的攻击事件来说,这个显然不是入口。作为一般的应急响应事件来说,捕获到攻击情报的时候很有可能
已经达到内网,所以很有可能七号机器在此之前已经沦陷了,我们只能通过反推的方式去一层层的寻找最初的脆弱点
此题7号机不需要我们做溯源 。尝试筛选一下HTTP的请求,使用follow对HTTP流进行追踪。

66666.png

很清晰的还原出7号机器通过5号机器的一个上传点,实现了文件上传漏洞 上传后的文件为/cmd.aspx并且
通过远程命令执行的方式,从7号机器获取nc64.exe,进而执行持久化控制。

66665.png

66664.png

从上面对5号机器进行的命令执行中,可以看到到反弹shell的端口在七号机的4444端口所以我们可以
通过tcp.port == 4444的方式,查看七号机器远程执行了什么命令。

100.png

前面“象征性”执行了whoami、ipconfig,到这步又从7号机拉取了一个名字很长的文件,感觉很可疑就看
一下吧,这里用过滤字符串的功能进行查看,提示“Hey there”应该是Flag无误了。

99.png
98.png

Event Horizon

简介:Our CEO's computer was compromised in a phishing attack. The attackers took care to clear
the PowerShell logs, so we don't know what they executed. Can you help us?
大致翻译:我们CEO的电脑在一次网络钓鱼中被攻击。攻击者小心地清理PowerShell日志
所以我们不知道他们执行了什么。大佬帮帮我们。

考点在于日志分析,题目给到的日志文件就高达323个

97.png

这里用的日志分析工具是Event Log Explorer,图形界面看起来非常的清晰。日志分析中排查优先级最高的不出意外应该是
powershell,但Windows Powershell的日志已经被攻击者删掉了。排序了下文件大小,发现还有个"Microsoft-Windo
ws-PowerShell%4Operational",该日志会记录攻击者执行的Powershell命令都记录下来,把该日志放到工具里进行查
看在执行的第一个脚本注释处找到flag。

96.png

关于PowerShell5.0新功能的更多描述可以看这里:https://docs.microsoft.com/zh-tw/powershell/scripting
/windows-powershell/whats-new/what-s-new-in-windows-powershell-50?view=powershell-7.2

Export

简介:We spotted a suspicious connection to one of our servers, and immediately took a mem
ory dump. Can you figure out what the attackers were up to?
大概翻译:我们发现一个可疑的连接在我们的服务器上,并且很快进行内存存储
你能发现攻击者在干嘛吗?

题目是给的一个Raw文件,众所周知常见的内存文件格式有dmp、raw、img等等,既然跟内存文件有关就离
不开做内存取证。这里推荐一个开源的内存取证框架 https://github.com/volatilityfoundation/volatility以
及对新手非常友好的autovolatility:https://github.com/carlospolop/autoVolatility前者可以对数十个接
口进行内存取证,后者可以批量将所有的接口进行取证并输出文件到本地。

95.png

跑完上述命令,可以获取到进程列表、事件日志、设备树、剪贴板内容、命令行等等信息

93.png

题目提到可疑链接,第一反应就是去看cmdline和cmdscan,前者显示进程的命令行参数,后者显示命令行
的历史记录在cmdscan文件里找到攻击者曾经执行过的一段Powershell无文件落地攻击

91.png

链接过一下URL的解码,ps1文件的名称感觉有点像flag了,再过一下Base64解密拿到flag。

90.png

Insider

简介:A potential insider threat has been reported, and we need to
find out what they accessed. Can you help?

大概翻译:一个潜在的威胁被爆出,我们需要知道他们访问了什么,你能帮忙吗?

给到的是客户端上火狐浏览器的一些文件,尝试查一下如何读取火狐浏览器配置文件,寄了。。全网无资料。国外的师傅
提到了一款工具 firefox_decrypt,地址:https://github.com/unode/firefox_decrypt。可以从Mozilla配置文件中提取
密码这种方法倒是很适合红队的同学在拿到靶标后使用,后面就是抄作业的过程:

89.png

好了作业抄完,再回顾下firefox_decrypt工具大概的实现原理,我们的用户记住密码后,数据一般都是放在本地
如果没有主密码的保护,这些密码应该是可以暴露出来的,所以firefox_decrypt就是对没有正确配置的本地密码
进行读取(没理解错的话)。

Intel

简介:It seems a huge trove of credit card details is being sold by a group going by the name
flinchsec. Can you find any sites or artefacts associated with this group tha
t we can use to detect them?

大概翻译:看起来有一个叫 flinchsec的团伙正在售卖大量的信用卡详细信息你能找到任何与这个团队关
联的网站或文件,以至于我们可以使用来检测他们吗?
一道社工类型的题目。给的信息不多,我们只知道团队名叫flinchsec,谷歌搜索一下
在领英找到了这个团队

88.png

但是点击公司网站,返回了500,说明网站已经下掉了。但是如果我还想看到的话怎么办呢,想到了类似于网页
快照之类的应用,百度查了一下有相关的实现:Wayback machine。并且在页面上看到有一个github的链接

87.png

86.png

到Releases下载文件后,strings命令看下程序里有没有flag的明文字符,结果失败了。后面看了大
佬发的WP竟然要用VT去查,脑洞太大了。。。

2.png
6.png

您需要登录后才可以回帖 登录 | 注册

本版积分规则

1

关注

0

粉丝

9021

主题
精彩推荐
热门资讯
网友晒图
图文推荐

Powered by Pcgho! X3.4

© 2008-2022 Pcgho Inc.