526互联

【HTB】Sherlocks Hyperfiletable 蓝队 easy

发布时间 2023-12-20 22:12:54作者: kazie

工具:

analyzeMFT.py:https://github.com/dkovar/analyzeMFT

analyzeMFT:https://ericzimmerman.github.io/#!index.md

Task 1

问题:MFT 的 MD5 哈希值是什么?


certUtil -hashfile mft.raw md5

答案:3730c2fedcdc3ecd9b83cbea08373226

Task 2

问题:系统上唯一用户的名称是什么?


用 analyzeMFT 打开 mft.raw,直接找到 /users/ 目录,就像 linux 直接查看 /home/ 目录

答案:Randy Savage

Task 3

问题:该用户下载的恶意 HTA 的名称是什么?


用 analyzemft.py 导出信息

python analyzemft.py -f "D:\htb\sherlocks\Hyperfiletable\hyperfiletable\mft.raw\mft.raw" -c "D:\htb\sherlocks\Hyperfiletable\mft.csv"

如果你 csv 文件不像下图分隔开,可以导出为 txt,在用 excel 导入(数据 -> 获取外部数据 -> 自文本 -> 逗号分隔)

查找 .hta 后缀

答案:Onboarding.hta

Task 4

问题:恶意 HTA 文件下载的 ZoneId 是什么?


根据 Task 3 中的路径在 analyzeMFT 软件查找,查看文件内容

答案:3

Task 5

问题:恶意HTA的下载URL是什么?


答案:https://doc-10-8k-docs.googleusercontent.com/docs/securesc/9p3kedtu9rd1pnhecjfevm1clqmh1kc1/9mob6oj9jdbq89eegoedo0c9f3fpmrnj/1680708975000/04991425918988780232/11676194732725945250Z/1hsQhtmZJW9xZGgniME93H3mXZIV4OKgX?e=download&uuid=56e1ab75-ea1e-41b7-bf92-9432cfa8b645&nonce=u98832u1r35me&user=11676194732725945250Z&hash=j5meb42cqr57pa0ef411ja1k70jkgphq

Task 6

问题:HTA 文件的分配大小是多少?(字节)


分配的大小为物理地址,实际使用大小为逻辑地址

答案:4096

Task 7

问题:HTA 文件的实际大小是多少?(字节)


Task 6 中的逻辑地址

答案:1144

Task 8

问题:用户何时下载了该PowerPoint演示文稿?


在 analyzemft.py 导出的文件中查找 .ppt

根据查找到的目录在 analyzeMFT 软件上查看

答案:05/04/2023 13:11:49

Task 9

问题:用户已记下其工作凭证,其密码是什么?


答案:ReallyC00lDucks2023!

Task 10

问题:C:\Users\ 目录下还剩下多少个文件?(递归)


别人说的,他说别问怎么来的

答案:3471