type
status
slug
summary
tags
category
icon
password
Misc
Siem
flag1:攻击者的ip是什么
通过搜索attack发现大部分ip为192.168.41.143
flag2:在攻击时间段一共有多少个终端会话登录成功
利用命令查询rule.id:5501终端登录记录发现有13次
flag3:攻击者遗留的后门系统用户是什么
利用通配符查询命令找到黑客添加用户的命令
flag4:提交攻击者试图用命令行请求网页的完整url地址
flag5:提交wazuh记录攻击者针对域进行哈希传递攻击时被记录的事件ID
利用通配符查询
flag6:提交攻击者对域攻击所使用的工具,该工具文件格式为无后缀名
搜索常见的域攻击工具发现mimikatz.exe
flag7:提交攻击者删除DC桌面上的文件名,该文件格式为带后缀名
利用通配符查询命令即可
- 作者:LinkStar
- 链接:https://blog.miaoaixuan.cn/article/2025ljb
- 声明:本文采用 CC BY-NC-SA 4.0 许可协议,转载请注明出处。
