2023年7月3日 / 最終更新日時 : 2023年9月26日 yokohama ITスキル

[THM][Note] Sysinternals

https://tryhackme.com/room/btsysinternalssg

このルームで覚えておきたいこと。

  • cms + rでコマンドを起動させる際に、「-accepteula」を付けると一々画面で「Agree」を選択せずに実行できる。コレを覚えると初動が早い。

Task4

There is a txt file on the desktop named file.txt. Using one of the three discussed tools in this task, what is the text within the ADS?

考え方)
  • ファイルに付属しているデータストリームの見方を理解する。
  • 付属しているデータストリームの中身の見方を理解する。

以下のコマンドでファイルにくっついている複数のADSを確認。今回は1つしか付いていなかった。

以下のコマンドでくっついているデータの中身を確認。

Task5

Using WHOIS tools, what is the ISP/Organization for the remote address in the screenshots above?

考え方)
  • 問題が結構意味不明。
  • 仮想環境でTCPViewを操作してEstablishedのサービスをwhoisすると思いきや、だた問題に乗っているキャプチャー(以下のもの)のIP「52.154.170.73」をwhoisするだけの問題。
  • iplookupで検索

Task6

Autoruns [ Image Hijacks ]

  • 名前から想像できるような悪いものではない。
  • ユーザーが指定したプログラムとは異なるプログラムを実行するASEPが存在する事を意味している。=>簡単にいうとリダイレクト。
  • ASEP(オートスタート・エクステンシビリティ・ポイント)。Windows内に200位上ある自動開始の拡張ポイント。
例えばどんなのがある?
  • 以下は、taskmgr.exe(タスクマネージャー)を起動しているが、その代わりに実際はプロセスエクスプローラーが起動されている例。コマンドがリダイレクトされている。

  • 以下は、全ての.htmlや.htmファイルの実行の関連付けをインターネットエクスプローラーに紐づけている。

カテゴリー
ITスキルハッキング
タグ

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です

ITスキル

前の記事

[THM][Note] Core Windows Processes
2023年6月30日
ITスキル

次の記事

[THM][Note] Splunk: Basics
2023年7月3日