• windows机器的版本和年份是什么

systeminfo
-> WIndows server 2016

  • 哪个用户最后登录
    -> Get-LocalUser
    -> net user jenny |findstr "Last"
    -> Administrator

  • john最后登录时间
    ->03/02/2019 5:48:32 PM

  • 系统第一次启动时连接到什么IP
    -> C:\Windows\System32\drivers\etc\hosts

Pasted%20image%2020240130180034

点开发现DNS中毒了,
Pasted%20image%2020240130180140
全都是本地的

打开regedit
HKEY_LOCAL_MACHINE > SOFTWARE > Microsoft > Windows > CurrentVersion > Run
访问这个路径
10.34.2.3Pasted%20image%2020240130180539

  • 查看管理员权限的用户
    ->Get-LocalGroupMember -Group “Administrators”

  • 恶意计划任务名字
    ->Get-ScheduledTask
    -> Clean file system

  • 该任务每天尝试运行什么文件
    ->$task = Get-ScheduledTask | Where TaskName -EQ "Clean file system"
    ->$task.Actions
    ->nc.ps1

  • At what date did the compromise take place?
    ->进入c盘查看Users文件夹的最后修改日期

  • Windows 何时首次为新登录分配特殊权限
    -> 时间查看器

Pasted%20image%2020240130181456

Pasted%20image%2020240130191903

点第二个
改时间
Pasted%20image%2020240130192148

但是接下来没太懂这个问题,直接跳过好了

  • 使用什么工具获取WIndows密码
    -> 一直弹出的mim.exe文件夹下有一个mim-out,打开来是mimikatz

  • 攻击者ip
    -> Pasted%20image%2020240130192748

  • 上传的shell的拓展名
    ->jsp

  • 最后打开的端口
    -> 打开防火墙,看入站规则,直接看最后无的,1337

  • 哪个网站被DNS攻击
    -> Google.com