一部を■で隠しています。
- Whats the version and year of the windows machine?
- winverすると答えが書いてある
- Which user logged in last?
- Windowsでログといえばイベントログなので、Event Viewerを開いて確認してみる
- 色々探索してるとSecurityでTask CategoryにLogonがあったので、それを一通り見ていこう
- ここで書いてあるユーザー名を一通り試すと答えが見つかる
- 普通にAdm■■■■■■■■■でした
- When did John log onto the system last?
- 探すとJohnがログインしている記録が見つかる
- What IP does the system connect to when it first starts?
- これが全然分からなくてwriteup見た
- TryHackMe: Investigating Windows w/ PowerShell | by 0xNirvana | Apr, 2021 | Medium
- ほう。レジストリの
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Runを見ると、システムが起動したときに実行されるコマンドが書けるらしい - 【30種類以上】Windows 10 起動時に実行されるプログラムと設定方法まとめ こんな国宝みたいなサイトも見つけた
- What two accounts had administrative privileges (other than the Administrator user)?
- ローカルグループのadministratorに属していればadmin権限を行使できるので、それを見る
net localgroup administrators
- ローカルグループのadministratorに属していればadmin権限を行使できるので、それを見る
- Whats the name of the scheduled task that is malicous.
- タスクスケジューラを見よう。文字数と照らし合わせてそれっぽいのを投げると通る
- What file was the task trying to run daily?
- これも上で答えたタスクでのActionを見ればいい
- What port did this file listen locally for?
- 同上
- When did Jenny last logon?
net user Jennyとして、Last logonに書かれているものを答える
- At what date did the compromise take place?
- タスクスケジューラにある怪しいタスクが作成された日付を各。falshupdate22の日付を書いたら通った
- At what time did Windows first assign special privileges to a new logon?
- イベントログで確認できそうだ。はっきりコレというのが見つからなかったが、hintを見ると末尾が分かるので特定していく
- イベントログのSecurityのEvent ID 4672を見ていけばいい
- What tool was used to get Windows passwords?
- これも分からなかった…Writeupsを見ると
C:\TMP\mimi-out.txtが見つかる - ここにmimikatzと書いてあり、これが答えになる
- これも分からなかった…Writeupsを見ると
- What was the attackers external control and command servers IP?
- What was the extension name of the shell uploaded via the servers website?
- WindowでwebserverといえばIISなので
C:\inetpub\wwwrootを見てみよう - ここにあるどれかを答えればいい
- WindowでwebserverといえばIISなので
- What was the last port the attacker opened?
- Check for DNS poisoning, what site was targeted?
