工具获取
做题
第一问:请找到rdp连接的跳板地址
加载内存镜像后,点击网络信息
然后过滤3389
DstAddr 192.168.60.220第二问:请找到攻击者下载黑客工具的IP地址
155.94.204.67第三问:攻击者获取的“FusionManager节点操作系统帐户(业务帐户)”的密码是什么
vol2,或者vol3的filescan
GalaxManager_2012第四问:请找到攻击者创建的用户
先导出全部的eventlog,然后将fffffa801a544ba0-Security.evtx 转为csv
筛选一下A new account was created
很容易得出新建的用户是 ASP.NET
第五问:请找到攻击者利用跳板rdp登录的时间
第一问有,UTC时间 2024-12-20 16:15:34 UTC
第六问:请找到攻击者创建的用户的密码哈希值
或者 vol2 vol3 使用 hashdump
5ffe97489cbec1e08d0c6339ec39416d