第四章-windows日志分析

第一关:审计桌面的logs日志，定位所有扫描IP，并提交扫描次数

让定位所有扫描ip，并统计次数
想到统计次数，就能想到之前linux的日志分析可以用命令直接提取出来，所以复制access.log文件到虚拟机

awk '{print $1}' access.log | sort | uniq -c | sort -nr

6331 192.168.150.67
524 192.168.150.1
169 127.0.0.1
54 192.168.150.33
1 192.168.150.60

但是题目让找的是恶意ip，然后分析日志发现192.168.150.1是业务站点ip，排除
192.168.150.60只出现一次排除
所以最后就是

6331 192.168.150.67
54 192.168.150.33

flag{6385}

第二关:审计相关日志，提交rdp被爆破失败次数

让找爆破失败的次数
rdp就是远程连接桌面，所以直接打开windows的事件管理器，搜索id为4625的事件（登陆失败的事件id为4625）
点击windows 日志—>安全，再然后点击右边的筛选当前日志即可；
最后统计发现共有2594条
flag{2594}

第三关:审计相关日志，提交成功登录rdp的远程IP地址，多个以&连接,以从小到大顺序排序提交

让找到登陆成功的ip
事件管理器将事件id为4624的成功登录事件导出来用FullEventLogView工具打开后也能看到
或者就是嫌麻烦的话事件管理器查看事件属性也能得到，排除自己的ip，最后统计出来
192.168.150.1&192.168.150.128&192.168.150.178
按时间排序

tips:

筛选事件id4648

事件 ID 4648 在 Windows 事件日志中代表 “使用显式凭据登录”，这意味着用户在登录时手动输入了用户名和密码，而不是通过自动登录或凭据缓存来进行身份验证。筛选 4648 事件通常是为了获取有关使用特定账户显式登录的信息，尤其是远程桌面协议 (RDP) 场景下。

第四关:提交黑客创建的隐藏账号

让提交黑客创建的隐藏账户

第一种方法

事件查看器查看事件id4720
事件 ID 4720 专门用于记录 用户账户创建 的事件。当一个新用户账户被创建时，Windows 会自动生成一个带有这个 ID 的日志条目，详细记录该账户的相关信息。

第二种方法：

net user查看（但一般行不通）

第三种方法：

“WIN”+“R”输入“lusrmgr.msc”，或者直接“cmd‘”输入“lusrmgr”也是可以
简单来说lusrmgr.msc 是 Windows 本地用户和组管理器（Local Users and Groups Management）的一个管理控制台。它允许管理员在本地系统上管理用户账户和用户组。这个工具可以帮助你查看、创建、删除或修改本地用户和组。

第四种方法

wmic useraccount get Name
wmic useraccount get Name 是在 Windows 系统中使用 WMIC（Windows Management Instrumentation Command-line） 命令行工具查询本地计算机上所有用户账户名称的命令。它会列出所有用户账户的名称，包括本地用户和系统用户。
flag{hacker$}

第五关:提交黑客创建的影子账号

第三种方法可以获得，但是似乎并不是正确的解法
正常流程注册表查询
然后找注册表地址HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
这个路径列出了系统中存在的所有用户账户，如果有账户不出现在用户管理工具中，但在这里可以找到，那它可能是被隐藏的账户
或者d盾也能检测影子账户
flag{hackers$}

第六关:提交远程shell程序的连接IP+端口，以IP:port方式提交

让提交远程shell的连接ip+端口

netstat -ano

查看系统所有网络连接
找不到，看计时任务就发现一个可疑项，每天定时启动，然后确认启动项发现叫xiaowei.exxe，一看就是绕过杀毒
或者注册表查启动项，只要计算机启动，所有用户登录时这些程序都会自动运行
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows\CurrentVersion\Run
然后搞到本机放到沙箱里面直接就分析出来了
flag{185.117.118.21:4444}

第七关:黑客植入了一个远程shell，审计相关进程和自启动项提交该程序名字

让找到远程shell的自启动项，第六关已经找到了，所以
flag{xiaowei.exe}

第八关:黑客使用了计划任务来定时执行某shell程序，提交此程序名字

黑客使用了计划任务来定时执行某shell程序，提交此程序名字
找到启动项download.bat，定时每天下载xiaowei.exe
flag{download.bat}