方法1:查询Windows版本和年份:使用命令"winver"或"systeminfo"
Press Windows+R to open the Run prompt then type regedit then enter.
按 Windows+R 打开“运行”提示,然后键入 regedit,然后输入。
Navigate to: 导航到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\ProductName
Answer: Windows Server 2016
答:Windows Server 2016
方法1:使用cmd:quser 【下图只是演示】
方法2:
Navigate to: 导航到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Authentication\LogonUI\LastLoggedOnUser
Answer: Administrator
答:Administrator
Open cmd.exe and enter the following command.
打开 cmd.exe然后输入以下命令。
net user John
Answer: 03/02/2019 5:48:32 PM
答案:03/02/2019 5:48:32 PM
Open regedit again and navigate to:
再次打开 regedit 并导航到:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\UpdateSvc
Answer: 10.34.2.3
答案:10.34.2.3
方法1:
查找具有管理权限的帐户:使用命令"net localgroup administrators"。【下图只是演示】
方法2:
Open Run and enter: 打开“运行”并输入:
lusrmgr.msc
Open Groups -> Administrators
打开组 ->管理员
It is very interesting that the Guest user is part of the Administrators group.
非常有趣的是,Guest 用户是 Administrators 组的一部分。
Answer: Jenny, Guest
答:Jenny,guest
Open the Task Scheduler.
打开任务计划程序。
The following tasks appears to be doing something suspicious:
以下任务似乎正在执行可疑操作:
However, TryHackMe wants us to answer ‘Clean file system’.
但是,TryHackMe 希望我们回答“干净的文件系统”。
Answer: Clean file system
答:Clean file system
Answer: nc.ps1
答案:nc.ps1
Answer: 1348
答案:1348
Open cmd.exe and type: 打开 cmd.exe并键入:
net user Jenny
Answer: Never
答:Never
The ‘Clean file system’ task was created no 03/02/2019, we can assume that is the date of the compromise.
“清理文件系统”任务创建于 2019 年 3 月 2 日,我们可以假设这是入侵的日期。
Answer: 03/02/2019
答:03/02/2019
Open Event Viewer and look for the correct entry.
打开事件查看器并查找正确的条目。
通过筛选:
可以根据:事件ID-》 事件ID1 -------- 事件ID2
可以根据:关键字-》Audit Success
可以根据:计算机名-》找jenny对应的计算机名(不是jenny)
Answer: 03/02/2019 04:04:49 PM
答案:03/02/2019 04:04:49 PM
我们从前面的问题中知道,计划任务正在 C:\TMP 中执行应用程序。
打开 Windows 资源管理器并导航到:
C:\TMP\mim-out.txt
Answer: Mimikatz
答:Mimikatz
Windows hosts 文件用于将服务器或主机名映射到 IP 地址。
在 Windows 中,hosts 文件的位置是 C:\Windows\System32\drivers\etc\hosts
Answer: google.com
答:google.com
根据上面的DNS解析对应的ip
C:\Windows\System32\drivers\etc\hosts.txt
Answer: 76.32.97.132
答案:76.32.97.132
Web 服务器相关的内容可能存储在 C:\inetpub\wwwroot 中。
Answer: .jsp
答案:.jsp
Open Windows Firewall and then click on Inbound Rules.
打开 Windows 防火墙,然后单击“入站规则”。
The most recent entry shows which port was opened.
最新条目显示打开了哪个端口。
Answer: 1337
答案:1337
借鉴:TryHackMe: Investigating Windows - andickinson.github.io