THM打靶日寄49-Advent of Cyber 2024：Day15

• 组策略GPO审查

  在域控上，powershell 运行

  • 列出域控的所有 GPO

    Get-GPO -All

    或将其导出到 html 以进一步调查：

    Get-GPOReport -Name "Malicious GPO - Glitch_Malware Persistence" -ReportType HTML -Path ".\Malicious GPO.html"

    

  • 列出最近修改的策略

    Get-GPO -All | Where-Object { $_.ModificationTime } | Select-Object DisplayName, ModificationTime

    

    如图，Malicious GPO 可能被攻击者修改

• 事件查看器

  Windows-security 看到用户的登录，尝试，注销的历史记录：

  

  所有事件均被赋予事件id，以下是值得注意的：

  | 事件 ID | 描述 |
  |————-|————————————————————|
  | 4624 | 用户帐户已登录 |
  | 4625 | 用户帐户登录失败 |
  | 4672 | 已为用户分配特殊权限（即 SeTcbPrivilege） |
  | 4768 | 为高权限帐户请求 TGT ( Kerberos ) 票证 |

  根据要求筛选出 Glitch_Malware 上一次登录的时间

  但令人感慨的是，筛选器里的选项并没有给针对 account_name 的筛选，并非是 user

  所以要手动编辑 xml 来查：

  <QueryList>
  <Query Id="0" Path="Security">
      <Select Path="Security">
      *[System[(EventID=4624)]] 
      and
      *[EventData[Data[@Name='TargetUserName']='Glitch_Malware']]
      </Select>
  </Query>
  </QueryList>

  我之前好像写过这样的，但我忘了具体在哪了，再记一遍好了

  

• 用户审计

  通过 powershell 查看所有被锁定的账户：

  Search-ADAccount -LockedOut | Select-Object Name, SamAccountName, LockedOut, LastLogonDate, DistinguishedName

  快速查看域中现有账户：

  Get-ADUser -Filter * -Properties MemberOf | Select-Object Name, SamAccountName, @{Name="Groups";Expression={$_.MemberOf}}

• powershell 日志

  位于 %APPDATA%\Microsoft\Windows\PowerShell\PSReadLine\ConsoleHost_history.txt

  或者在事件查看器的 Application and Services Logs-Windows PowerShell 下找到

Answer format: DD/MM/YYYY
07/11/2024

What event ID shows the login of the Glitch_Malware user?
4624

What was the command that was used to enumerate Active Directory users?
Get-ADUser -Filter * -Properties MemberOf | Select-Object 

Glitch_Malware's set password?
SuperSecretP@ssw0rd!

Review the Group Policy Objects present on the machine. What is the name of the installed GPO?
Malicious GPO - Glitch_Malware Persistence