.pf 文件：windows 预读取文件

.evtx 文件：日志文件

$Extend：USN 日志

MFTECmd 下载：https://ericzimmerman.github.io/#!index.md

Event Log Explorer 下载：https://eventlogxp.com/download.php?s=1&u=b

Task 1

问题：SOC 团队怀疑对手潜伏在他们的环境中，并正在使用 PsExec 进行横向移动。一位初级 SOC 分析师专门报告了 PsExec 在 WorkStation 上的使用情况。攻击者在系统上执行了多少次 PsExec？

1、查看系统日志（system.evtx）、根据题目设置过滤条件

显示一共 9 次

答案：9

Task 2

问题：PsExec 工具释放的允许攻击者执行远程命令的服务二进制文件的名称是什么？

点击日志查看详细信息

答案：PSEXESVC.exe

Task 3

问题：现在我们已经确认 PsExec 运行了多次，我们对 PsExec 的第五个 Last 实例特别感兴趣。 PsExec 服务二进制文件运行时的时间戳是多少？

找到第五个日志时间

注意：这是东八区的时间（北京时间），不是世界时间

答案：07/09/2023 12:06:54

Task 4

问题：您能否确认攻击者横向移动的工作站的主机名？

1、查看 security.evtx 日志，设置过滤条件

找到一个 adminstrator 用户登录 Forela-Wkstn001 失败的信息

答案：Forela-Wkstn001

Task 5

问题：Psexec 的最后 5 个实例删除的密钥文件的全名是什么？

1、提取 $J 文件信息保存为 csv 文件

MFTECmd.exe -f "I:\靶场\htb\sherlocks\Tracer\tracer\Tracer\C\$Extend\$J" --csv "./" --csvf "$J.csv"

2、查看 $J.csv 文件

如图所示，文件名会重复三次，倒数第五个以 .key 结尾的文件就是

答案：PSEXEC-FORELA-WKSTN001-95F03CFE.key

Task 6

问题：您能否确认在磁盘上创建此密钥文件的时间戳？

答案：07/09/2023 12:06:55

Task 7

问题：以“stderr”结尾的命名管道的全名是什么？ PsExec 的最后 5 个实例的关键字？

1、查看 sysmon.evtx 日志，设置过滤条件

一共就 5 个以 stderr 为结尾的管道

答案：\PSEXESVC-FORELA-WKSTN001-3056-stderr

本栏目推荐文章
• 使用django-easy-audit跟踪Django项目中发生的变更和事件
• 7 Dances (Easy version)
• CWOI C0336 D easy 题解
• P9989 [Ynoi Easy Round 2023] TEST_69
• P8512 [Ynoi Easy Round 2021] TEST_152 题解
• UVA12170 轻松爬山 Easy Climb 题解
• ctfshow元旦水友赛web-easy-login
• curl_easy_perform() failed: Problem with the SSL CA cert (path? access rights?)
• 【HTB】 Broker 红队 easy
• P9993 [Ynoi Easy Round 2024] TEST_133 题解

蓝队 Sherlocks Tracer easy HTB蓝队sherlocks tracer easy 蓝队sherlocks logjammer easy 蓝队sherlocks lockpick easy 蓝队hyperfiletable sherlocks easy 蓝队sherlocks-litter sherlocks litter 蓝队sherlocks-meerkat sherlocks meerkat 蓝队sherlocks-bumblebee bumblebee sherlocks 红队broker easy htb 红队devvortex easy htb 红队analytics easy htb