工具获取

做题

第一问：请找到rdp连接的跳板地址

加载内存镜像后，点击网络信息
2024-12-28T12:13:58.png
然后过滤3389
2024-12-28T12:14:11.png

DstAddr 192.168.60.220

第二问：请找到攻击者下载黑客工具的IP地址

2024-12-28T12:14:36.png

155.94.204.67

第三问：攻击者获取的“FusionManager节点操作系统帐户（业务帐户）”的密码是什么

vol2,或者vol3的filescan
2024-12-28T12:16:17.png
2024-12-28T12:16:27.png
2024-12-28T12:16:35.png

GalaxManager_2012

第四问：请找到攻击者创建的用户

先导出全部的eventlog,然后将fffffa801a544ba0-Security.evtx 转为csv
2024-12-28T12:18:00.png
2024-12-28T12:18:14.png
筛选一下A new account was created
2024-12-28T12:18:27.png
很容易得出新建的用户是 ASP.NET

第五问：请找到攻击者利用跳板rdp登录的时间

第一问有，UTC时间 2024-12-20 16:15:34 UTC
2024-12-28T12:19:41.png

第六问：请找到攻击者创建的用户的密码哈希值

2024-12-28T12:20:18.png
2024-12-28T12:20:26.png
或者 vol2 vol3 使用 hashdump
5ffe97489cbec1e08d0c6339ec39416d