工具:
analyzeMFT.py:https://github.com/dkovar/analyzeMFT
analyzeMFT:https://ericzimmerman.github.io/#!index.md
Task 1
问题:MFT 的 MD5 哈希值是什么?
certUtil -hashfile mft.raw md5
答案:3730c2fedcdc3ecd9b83cbea08373226
Task 2
问题:系统上唯一用户的名称是什么?
用 analyzeMFT 打开 mft.raw,直接找到 /users/ 目录,就像 linux 直接查看 /home/ 目录
答案:Randy Savage
Task 3
问题:该用户下载的恶意 HTA 的名称是什么?
用 analyzemft.py 导出信息
python analyzemft.py -f "D:\htb\sherlocks\Hyperfiletable\hyperfiletable\mft.raw\mft.raw" -c "D:\htb\sherlocks\Hyperfiletable\mft.csv"
如果你 csv 文件不像下图分隔开,可以导出为 txt,在用 excel 导入(数据 -> 获取外部数据 -> 自文本 -> 逗号分隔)
查找 .hta 后缀
答案:Onboarding.hta
Task 4
问题:恶意 HTA 文件下载的 ZoneId 是什么?
根据 Task 3 中的路径在 analyzeMFT 软件查找,查看文件内容
答案:3
Task 5
问题:恶意HTA的下载URL是什么?
Task 6
问题:HTA 文件的分配大小是多少?(字节)
分配的大小为物理地址,实际使用大小为逻辑地址
答案:4096
Task 7
问题:HTA 文件的实际大小是多少?(字节)
Task 6 中的逻辑地址
答案:1144
Task 8
问题:用户何时下载了该PowerPoint演示文稿?
在 analyzemft.py 导出的文件中查找 .ppt
根据查找到的目录在 analyzeMFT 软件上查看
答案:05/04/2023 13:11:49
Task 9
问题:用户已记下其工作凭证,其密码是什么?
答案:ReallyC00lDucks2023!
Task 10
问题:C:\Users\ 目录下还剩下多少个文件?(递归)
别人说的,他说别问怎么来的
答案:3471
标签:Task,HTB,HTA,蓝队,Hyperfiletable,mft,easy,analyzeMFT,答案 From: https://www.cnblogs.com/IFS-/p/17917728.html