[ 应急响应靶场实战 ] VMware 搭建win server 2012应急响应靶机 & 攻击者获取服务器权限上传恶意病毒 & 防守方人员应急响应并溯源

admin 管理员组

文章数量: 887006

🍬 博主介绍

👨‍🎓 博主介绍：大家好，我是 _PowerShell ，很高兴认识大家~
✨主攻领域：【渗透领域】【数据通信】 【通讯安全】 【web安全】【面试分析】
🎉点赞➕评论➕收藏 == 养成习惯（一键三连）😋
🎉欢迎关注💗一起学习👍一起讨论⭐️一起进步📝文末有彩蛋
🙏作者水平有限，欢迎各位大佬指点，相互学习进步！

文章目录

• 🍬 博主介绍
• 整体流程：
• 一、Vmware搭建winserver2012
• • 1、选择镜像新建虚拟机
  • 2、设置虚拟机名称配置等信息
  • 3、设置虚拟机网络及磁盘等信息
  • 4、设置磁盘信息
  • 5、开始安装
  • 6、安装vmtools
  • 7、设置密码
  • 8、开启远程桌面
• 二、攻击机进行攻击
• • 1、环境介绍
  • 2、攻击机暴力破解靶机密码
  • 3、使用得到的账号密码远程登录靶机
  • 4、创建隐藏账户powershell$并加至最高权限
  • • 1.创建隐藏账户
    • 2.用户隐藏成功
    • 3.加入管理组
    • 4.添加远程桌面权限
  • 5、上传wakuangdb
  • 6、安装java环境
  • 7、写入启动恶意文件的bat
  • 8、写入计划任务
  • • 1.每五分钟执行javs一次
    • 2.每三分钟执行javs启动程序一次
  • 9、写入启动项
• 三、应急响应处理异常
• • 1、事件背景
  • 2、简单分析
  • 3、排查服务器是否感染挖矿病毒
  • 4、结束进程
  • 5、排查计划任务
  • 6、查看进程
  • 7、排查启动项
  • 8、排查计划任务
  • 9、查看服务
  • 10、发现隐藏账户
  • 11、排查网络连接
• 四、应急响应溯源
• • 1、查看计划任务
  • 2、提取安全日志
  • • 1.evtx提取安全日志
    • 2.事件查看器提取安全日志
  • 3、分析安全日志
  • 4、事件复原
• 五、相关资源

整体流程：

Vmware搭建winserver2012
Winserver2012受到攻击WaKuang程序攻击
应急响应处置并进行事件复现

一、Vmware搭建winserver2012

可以选择自行搭建，也可以下载我搭建好的，下载链接文末给出 靶场换下载链接

1、选择镜像新建虚拟机

打开vmware，选择新建虚拟机，一直下一步，选择ISO，激活密钥直接跳过，点击下一步。

2、设置虚拟机名称配置等信息

设置虚拟机名称，设置虚拟机安装路径，固件类型默认，然后设置处理器数量，内核数量等，接着设置内存，这些可自行根据实际情况进行设置

3、设置虚拟机网络及磁盘等信息

设置网络连接类型，我这里选择的网络类型是NAT，设置i/o控制器类型，我这里直接默认，选择磁盘类型，默认，选择创建新的虚拟磁盘

4、设置磁盘信息

设置磁盘存储大小，设置磁盘名称，确认配置

5、开始安装

点击完成就开始安装，过一会儿会自动重启

再过一会儿，自动安装完毕

6、安装vmtools

进入我的电脑，选择D盘，双击打开

双击setup进行安装

安装中，安装完成自动进入操作系统

vmtools安装失败可参考：
[ 问题解决篇 ] 解决windows虚拟机安装vmtools报错-winserver2012安装vmtools及安装KB2919355补丁 (附离线工具)

7、设置密码

点击windows图片，选择控制面板，选择用户账户

点击更改账户类型，选择更改Administrator用户，创建密码，输入密码，输入确认密码，输入密码提示信息，我这里创建靶机，我把密码提示信息设置成密码
点击右下角创建密码即可

8、开启远程桌面

我是做靶机使用，这里我需要远程桌面
windws server 2012默认不开启远程桌面功能

二、攻击机进行攻击

1、环境介绍

攻击机建议创建一个虚拟机，当然选择本机作为攻击机也是可以的
我这里采用win10虚拟机和kali虚拟机作为攻击机
Win10：192.168.233.176
Kali：192.168.233.130
Winserver2012：192.168.233.182

2、攻击机暴力破解靶机密码

使用超级弱口令检查工具进行爆破
填入目标：192.168.233.182
选择账户字典：常用用户名
选择密码字典：密码top100
对RDP和SMB进行爆破
得到账号密码

administrator/admin@123

3、使用得到的账号密码远程登录靶机

直接远程桌面

使用爆破的到账号密码进行登录

登陆成功

4、创建隐藏账户powershell$并加至最高权限

1.创建隐藏账户

以管理员身份进入终端，执行如下命令创建一个隐藏账户

net user powershell$ admin@123/add 

创建一个账号名为powershell，密码为admin@123的隐藏账户

net localgroup administrators powershell$ /add 

将powershell$用户添加进管理员组中（如果忘了这个命令，也可以傻瓜式添加）

创建完成之后，输入net user 查看账户，发现我们创建的隐藏用户隐藏成功

net user 

虽然用net user 看不到，但是还有其他方式可以看到
通过控制面板–>用户账户–>管理账户查看

通过管理工具–>计算机管理–>本地用户和组–>用户也可以看到

为了更好的隐藏新建的账户，还需要进行修改注册表文件操作。
完全隐藏账户：链接

2.用户隐藏成功

管理账户下看不到隐藏用户

计算机管理用户下看不到隐藏用户

3.加入管理组

net localgroup administrators powershell$ /add 

将powershell$用户添加进管理员组中，可以直接在终端中使用以上命令添加，也可以如下计算机管理中添加。
进入计算机管理–>找到用户和组，进入组，找到administrator组

双击进入administrator组，添加我们之前创建的用户
选择添加，进入高级，立即查找，找到我们需要添加用户，点击确认

再次点击确认，然后应用就ok了

4.添加远程桌面权限

需将新创建的隐藏账户powershell$添加在允许远程桌面用户的位置，默认只允许 Administrator，不然隐藏账户powershell$无法登录，远程登录隐藏账户powershell$时，账户名是powershell$密码是admin@123
[ 应急响应基础篇 ] 解决远程登录权限不足的问题（后门账号添加远程桌面权限）

注意：此处账户并不是完全隐藏了，想要完全隐藏参考下面文章：
[ windows权限维持 ] 利用永恒之蓝(MS17-010)漏洞取靶机权限并创建后门账户

5、上传wakuangdb

文件下载地址： wkbd-挖矿病毒.zip
上传wakuangbd并解压

随便放到哪个目录都行，我放到了C:\Users\Administrator\Documents\wkbd\目录下
解压后文件如下

6、安装java环境

发现靶机没有安装java环境，在靶机上面安装java环境
Java环境下载链接：jdk-8u162-windows-x64.exe安装包，以及配套安装教程
[ 环境搭建篇 ] 安装 java 环境并配置环境变量(附 JDK1.8 安装包)

直接双击进行安装

Java环境安装完毕之后，图标变成java图标，然后删掉java安装包

7、写入启动恶意文件的bat

常用bat文件链接：

@echo of f
start C: \Users \Admini strator \Documents \wkbd\javs. exe

点击他就会自动执行javs.exe恶意文件

nssm.exe 是一个用于将普通可执行文件（如 .exe、.bat、.jar 等）封装为 Windows 系统服务的工具。它允许用户通过简单的命令行操作或图形界面，将应用程序注册为系统服务，从而实现开机自启动、后台运行和故障恢复等功能。我这里没有调用nssm.exe吧javs.exe变成服务，在后续的应急过程中会一步步加大难度。感兴趣的可以提前自己先去了解！

8、写入计划任务

1.每五分钟执行javs一次

直接双击每5执行javs一次就可以新建一个计划任务，每五分钟执行一次javs.exe

schtasks /create /tn updater /tr "C:\Users\Administrator\Documents\wkbd\javs.exe" /sc minute /mo 5

我们也可以在终端中直接执行bat里面的命令创建计划任务

任务计划程序创建成功

为了避免不执行，我们进行如下设置

2.每三分钟执行javs启动程序一次

schtasks /create /tn updater2 /tr "C: \Users' \Admi ni strator\Documents \wkbd\执行javs. bat" /sc minute /mo 3

直接双击每3执行javs一次就可以新建一个计划任务，每3分钟执行一次执行javs.bat，也就是每三分钟执行一次javs.exe

9、写入启动项

Winserver2012启动项位置：

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

打开启动项，把这些文件写入，这些文件都是我们之前创建好的
这样，每次重启服务器，这些文件都会被执行

三、应急响应处理异常

1、事件背景

客户反馈：服务器风扇噪声很大，温度很高，疑似被入侵。
受害服务器： Windows2012 系统、IP： 192.168.233.182、无WEB服务。

2、简单分析

根据客户反馈：风扇噪声很大，一般只有消耗CPU很多的情况下，服务器高温，风扇才会一直转，说明服务器可能感染wakuang病毒了。

3、排查服务器是否感染挖矿病毒

登录进服务器之后，看到桌面下面有一个程序在运行

点开java图标之后，发现该程序一直在访问域名：mine.c3pool:13333

查看一下这个域名是啥，这里采用微步进行查询
微步查看域名：mine.c3pool，确认是矿池域名，这个程序是wakuang病毒

https://s.threatbook/report/url/0c59832767b70c545cce4caa9c3fd22e

查看进程之后查看服务器的CPU和内存使用率，发现名为javs.exe的程序内存使用率极大

tasklist

发现占用率很高很高

查看属性

发现文件位置：

C:\Users\Administrator\Documents\wkbd\javs.exe

进入C:\Users\Administrator\Documents\wkbd\目录发现确实是wakuang程序
看到如下文件

打开config.json文件

将javs.exe程序放在微步云沙箱跑一下，确实是恶意文件

https://s.threatbook

4、结束进程

我们上面确认它是wakuang病毒了
我们直接结束进程

结束了恶意进程之后，cpu占用率瞬间下来了

5、排查计划任务

终止恶意进程 javs.exe程序之后，没过几分钟， javs.exe程序又再次出现了，并且消耗CPU 100%，怀疑可能存在计划任务

继续终止进程，然后查看计划任务
看到了两个不应该存在的计划任务updater和updater1，

发现创建者为Administrator，创建时间为2023/3/13 11:45:01和2023/3/13 11:45:03

我们查看一下计划任务内容
发现updater是启动javs.exe，这个是恶意计划任务

发现updater是启动执行javs.bat，这个也是恶意计划任务

6、查看进程

使用processExplorer进程分析工具分析进程
processExplorer下载地址：https://pan.baidu/s/1LiRwK71FkGGkDTX59w3Okg?pwd=6666
processExplorer16.32中文版下载地址：https://pan.baidu/s/18dukyq9YLVJrbzf4OmFI7Q?pwd=6666

分析如下，发现javs.exe的CPU占用率很高，大致确认是恶意程序
这其实就是我们之前删掉的进程，后面计划任务再次起来的，计划任务我们之前没有删除

右键结束进程

7、排查启动项

Windows2012server启动项地址

C:\ProgramData\Microsoft\Windows\Start Menu\Programs\StartUp

发现三个恶意启动文件
2023/3/10 18:34创建每5执行javs一次.Bat
2023/3/13 10:23创建两个bat文件

8、排查计划任务

使用Autoruns工具查看服务器所有的进程，其中背景颜色为粉红色的程序，经排查均不是恶意程序，服务器不存在恶意程序
Autoruns工具下载
Autoruns汉化版下载链接

发现两个恶意计划任务

9、查看服务

使用Autoruns工具查看服务器服务，发现恶意服务javs

10、发现隐藏账户

通过控制面板–>用户账户–>管理账户查看当前系统的所有账户未发现异常，只有administrator和guest

通过查看注册表发现存在三个用户，administrator和guest和powershell$，发现异常

由此可知，powershell$为后门账户，删除powershell$用户相关注册表

11、排查网络连接

使用命令 netstat -ano 查看网络连接

netstat -ano

未发现异常

四、应急响应溯源

1、查看计划任务

2023/3/13/11:45创建两个计划任务

2、提取安全日志

[ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志

1.evtx提取安全日志

首先使用evtx提取系统的日志，将evtx工具传到windows server 2012服务器上，因为该服务为64位，所以进入到 evtx_0x64 目录

之后以管理员身份运行 evtx.exe 文件

提取出来的日志如下

2.事件查看器提取安全日志

打开事件查看器

点开 windows日志，点击右边的所有事件另存为

日志就保存出来了

3、分析安全日志

logon工具下载

将提取出来的日志，放到logon下的data里面(如果存在之前的日志需要全部删除)

然后运行bin里面的Run.bat程序即可。

很快就跑完了

如下所示，是运行结束后统计的各种CSV表格

我这里靶场没有安装office，我拷出来查看，当然也可以采用记事本查看

目录下的4625.csv文件

此文件记录的是所有登录失败的信息，发现2023/3/10 14:33:49——2023/3/14 16:10:04有多次黑客爆破Administrator账户，但是均没有记录到攻击IP

目录下的4624.csv文件

此文件记录的是所有登录成功的信息，但是在2023/3/10 14:56:56——2023/3/14 16:10:04期间有审核成功的记录，IP地址同样没有记录到，可能是黑客使用爆破工具成果爆破出Administrator账户密码
紧接着 2023/3/10 14:57:29，IP：192.168.233.1成功登录该服务器

继续排查在 2023/3/14 9:53:08 黑客使用administrator账户创建了隐藏账户 powershell$并>添加到超级管理员组，具有超级管理员权限

之后查看系统日志，发现在 2023/3/10 18:31:39 服务器去解析 mine.c3pool 域名，而此域名是公共矿池，说明此时已经植入挖矿程序并且运行

mine.c3pool是公共矿池

4、事件复原

黑客IP：192.168.226.1
2023/3/10 14:56:56
黑客爆出用户密码并使用192.168.226.1远程登录服务器
2023/3/10 18:31:39
植入挖矿程序并且运行
2023/3/13 11:45:01
创建计划任务
2023/3/14 9:53:08
黑客使用administrator账户创建了隐藏账户 powershell$并添加到超级管理员组

五、相关资源

1、 [ 应急响应篇 ] 日志分析工具Log Parser配合login工具使用详解（附安装教程）
2、 [ 应急响应基础篇 ] evtx提取安全日志 & 事件查看器提取安全日志
3、 [ 应急响应基础篇 ] windows日志分析详解–windows日志分析介绍–Windows事件类型介绍–提取windows日志–windows日志分析工具–windows日志分析实例
4、 [ 应急响应基础篇 ] 使用 Process Explorer 进程分析工具分析系统进程（附Process Explorer安装教程）
5、 [ 红队知识库 ] 一些常用bat文件集合
6、 [ 应急响应基础篇 ] 解决远程登录权限不足的问题（后门账号添加远程桌面权限）
7、 [ 应急响应 ]服务器(电脑)受到攻击该如何处理?(一)
8、 [ 应急响应基础篇 ] 使用 Autoruns 启动项分析工具分析启动项（附Autoruns安装教程）
9、 [ 问题解决篇 ] 解决windows虚拟机安装vmtools报错-winserver2012安装vmtools及安装KB2919355补丁 (附离线工具)
10、 [ 问题解决篇 ] 解决远程桌面安全登录框的问题
11、 [ windows权限维持 ] 利用永恒之蓝(MS17-010)漏洞取靶机权限并创建后门账户
12、 [ 环境搭建篇 ] 安装 java 环境并配置环境变量(附 JDK1.8 安装包)
13、 靶场换下载链接

本文标签： 靶机 守方 靶场 攻击者 实战