windows日志分析.md
Last Update:
参考链接:
**题目描述:**
**某台Windows服务器遭到攻击者入侵,管理员查看发现存在大量rdp爆破的请求,攻击者使用了不同位置的IP(此处模拟),进行爆破并成功,并成功进入了系统,进入系统后又做了其它危害性操作,请根据各题目完成填写**账号/密码: winlog/winlog123
注意: 远控软件内IP为虚拟IP,如在进行进程中没有找到相关外连,应该是由于连接超时造成的断开了,重启环境服务器或软件即可继续对外发起请求,请见谅
注意: 按照题目提示可以根据系统功能分析,或桌面工具进行辅助分析
注意: winlog用户在操作关于系统权限功能时,一定要使用管理员权限打开工具再去执行如: cmd直接打开则可能无法进行操作系统权限性操作,需右击cmd-使用管理员权限打开,才可以,其它工具也如此
注意: 题目中shell如需在本地分析,提前关闭杀毒软件,会被杀掉,非免杀
题目:
1. 审计桌面的logs日志,定位所有扫描IP,并提交扫描次数
扫描ip就是:192.168.150.33;192.168.150.67
flag{6385}
2. 审计相关日志,提交rdp被爆破失败次数
flag{2594}
3. 审计相关日志,提交成功登录rdp的远程IP地址,多个以&连接,以从小到大顺序排序提交
flag{192.168.150.1&192.168.150.128&192.168.150.178}4. 提交黑客创建的隐藏账号
flag{hacker&}5. 提交黑客创建的影子账号
flag{hackers&}6. 黑客植入了一个远程shell,审计相关进程和自启动项提交该程序名字
flag{xiaowei.exe}7. 提交远程shell程序的连接IP+端口,以IP:port方式提交
flag{185.117.118.24:4444}8. 黑客使用了计划任务来定时执行某shell程序,提交此程序名字
flag{download.bat}过程:
题目提示审计logs日志,因为在windows下,不能进行统计次数,所以打开小皮,创建站点,把logs日志里的access.log日志放在网站目录下,然后再kali进行访问这个日志文件,进行下载
然后通过awk,uniq,sort命令,进行统计ip及次数
然后在1.txt里(即192.168.150.33)发现通过url看到不正常的编码和后面的user-agent为nmap,判断这是在扫描
然后再看2.txt(即192.168.150.67),发现是在进行WEB字典扫描
再看3.txt(即192.168.10.1),发现都是很正常的url访问信息
因为要查看rdp爆破的次数,所以进事件查看器进行查看日志。win+r 打开命令行窗口,输入 **eventvwr.msc 。**打开事件查看器,点击安全,可以看到账户类操作日志。
然后根据要求进行筛选,筛选登录失败的事件ID,事件ID为4625,可以看到登录失败次数为2595次。但是实际是2594次,因为我自己登录的时候失败了一次
然后进行导出筛选的日志(事件ID:4624)
然后根据桌面准备的辅助工具 FullEventLogView 导入分析
因为我们知道攻击者的ip是192.168开头的,直接进行过滤,就可以发现第一个ip:192.168.150.33,并且可以看到工作站点是nmap
第二个ip是:192.168.150.1
第三个ip是:192.168.150.128
第四个ip是:192.168.150.178
所以现在有四个ip:192.168.150.1、192.168.150.128、192.168.150.33、192.168.150.178
但是,有一个最重要的点,找的是rdp登录成功的,rdp登录有个特征:就是登录类型是‘10’。在上面的四个ip里,192.168.1150.33这个ip的登录类型是‘3’,3是网络,10是远程桌面。
所以总的来说,就只有三个ip的rdp登录成功的
然后去找黑客创建的隐藏账号和影子账号,使用D盾
快捷键WIN+R ‘regedit‘
使用netstat -nao查看到相应的端口状态,在后面看到可疑连接
虽然这里有两个可疑连接,但是,连接状态,一个是“SYN-SENT”(尝试建立与远程主机的连接);一个是”TIME_WAIT”(表示连接已经关闭),并且端口是4444,我们经常使用的远程连接端口,所以连接ip是185.117.118.24,端口是4444
查看计划任务程序中存在的计划
在每天的晚上23点07会进行下载xiaowei.exe文件,点进去查看执行的程序,可看到执行绝对路径
查看这个bat脚本,最后得到执行全过程,确认下载了xiaowei.exe文件到相关目录,最后每次开机自启xiaowei.exe文件上线
reward
