처음에 version 10.0.14393 했는데 안됐다.
그냥 windows server 2016 입력하는 거였다.
레지스트리 탐색기로 가서 Windows\CurrentVersion\Authentication\LogonUI
LastLoggedOn~을 보면 Administrator임을 알 수 있다.
cmd에 위와 같이 입력하면 Last logon을 알 수 있다.
처음에 가상 머신을 켜면 connecting to…가 뜬다. 민첩하게 외워서 작성해준다.
컴퓨터 관리자 > Local Users and Groups > Groups
여기서 Administrators Properties를 누르면 세 명이 나온다.
schtasks를 입력했는데 너무 많아서 얻은 건 없었다.
task scheduler로 가서 예약된 task들을 하나씩 살펴본다. Clean file system은 사실 answer format 글자수 보고 찍었다…
앞문제를 풀었으면 해당 문제는 쉽다. action칸으로 가면 수상한 cmd 명령이 있는데 nc.ps1과 port 번호 입력해주면 된다.
Windows > System32 > drivers > etc에서 hosts를 열면 외부 ip하나가 google.com을 들어가고 있는 기록을 확인할 수 있다.
inbound 방화벽의 최근을 보면 1337 포트 기록이 있다.
inetpub > wwwroot로 가면 jsp파일들이 있는데 해당 파일이 서버 웹사이트서 업로드된 shell이다.