学习干货|实战学习应急响应之Windows日志分析,网络安全零基础入门到精通教程!
前言
本次环境将从大赛内与实战环境相结合去了解在应急响应中Windows日志分析的几个关键点,符合大赛及真实环境案例,本次环境将从WEB层面的日志分析到主机内的几种关键日志分析和重点功能进行排查
题目描述:某台Windows服务器遭到攻击者入侵,管理员查看发现存在大量rdp爆破的请求,攻击者使用了不同位置的IP(此处模拟),进行爆破并成功,并成功进入了系统,进入系统后又做了其它危害性操作,请根据各题目完成填写
* 本次环境仅供学习参考,答案不重要,重要的是思路
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
2、环境复现
镜像下载地址:
百度网盘: https://pan.baidu.com/s/1AR8nQaTFxhzvxONmLKQ0qQ 提取码:52zd
夸克网盘:https://pan.quark.cn/s/29851fc7aceb 提取码:8JeP
天翼网盘: https://cloud.189.cn/t/jQJbeu6ZBBzq (访问码:il8x)(不限速)
一定主要看下方注意事项和题目哦
系统: Windows 7
CPU: 2颗
内存: 2G
空间: 保证不低于5G
其它傀儡机: 段内
账号/密码: winlog/winlog123
注意: 远控软件内IP为虚拟IP,如在进行进程中没有找到相关外连,应该是由于连接超时造成的断开了,重启环境服务器或软件即可继续对外发起请求,请见谅
注意: 按照题目提示可以根据系统功能分析,或桌面工具进行辅助分析
注意: winlog用户在操作关于系统权限功能时,一定要使用管理员权限打开工具再去执行
如: cmd直接打开则可能无法进行操作系统权限性操作,需右击cmd-使用管理员权限打开,才可以,其它工具也如此
注意: 题目中shell如需在本地分析,提前关闭杀毒软件,会被杀掉,非免杀
题目:
1. 审计桌面的logs日志,定位所有扫描IP,并提交扫描次数
2. 审计相关日志,提交rdp被爆破失败次数
3. 审计相关日志,提交成功登录rdp的远程IP地址,多个以&连接,以从小到大顺序排序提交
4. 提交黑客创建的隐藏账号
5. 提交黑客创建的影子账号
6. 黑客植入了一个远程shell,审计相关进程和自启动项提交该程序名字
7. 提交远程shell程序的连接IP+端口,以IP:port方式提交
8. 黑客使用了计划任务来定时执行某shell程序,提交此程序名字
| 题目 | 答案 |
|---|---|
| 审计桌面的logs日志,定位扫描IP,并提交扫描次数 | flag{6385} |
在桌面下有logs目录,目录中有access.log和error.log文件,这是nginx的日志,我们注意分析access.log,error是在服务出问题,比如出现500/502/504之类的故障才写入
观察其特征,127.0.0.1为本地IP,搭建后进行测试,192.168.150.1后面的url为业务站点IP(此处可以自行开启phpstudy进行测试)
接着就是192.168.150.33这个IP,通过url看到不正常的编码和后面的user-agent为nmap,判断这是傀儡机对web端口进行的web探测
再往下看就是192.168.150.67这个IP,最明显的特征就是WEB字典扫描,404的特征码以及各种漏扫特征,如ThinkPHP的payload
目前已知这两个IP为扫描特征,再往下看没什么特征了,而且这是在模拟,数据少,实战中这样看眼花也找不出来,所以此处我将access.log拖出来使用cmder进行查看,当然各位师傅也可以使用其它工具,比如脚本或者Linux命令进行排查,这里使用命令
awk '{print $1}' access.log | sort | uniq -c | sort
以IP的为基准进行排序,看到192.168.150.67扫描最多,我们将它和192.168.150.33进行相加得出共扫描次数为6385次
| 题目 | 答案 |
|---|---|
| 审计相关日志,提交rdp被爆破失败次数 | flag{2594} |
通过事件日志进行查看,快捷键WIN+R输入 ‘eventvwr.msc’ 进入事件查看,点击安全,可以看到账户类操作日志
然后根据要求进行筛选,事件ID为4625,可以看到登录失败次数为2594次
当然了,如果想要更好的分析,可以将当前筛选日志进行导出,我这里导出到了桌面
然后根据桌面准备的辅助工具 FullEventLogView 导入分析
导入后可以快速分析到对方爆破的IP地址,至于为啥有的请求没有IP,我怀疑是爆破工具的问题
| 题目 | 答案 |
|---|---|
| 审计相关日志,提交成功登录rdp的远程IP地址,多个以&连接,以从小到大顺序排序提交 | flag{192.168.150.1&192.168.150.128&192.168.150.178} |
继续审核日志,登录失败日志ID为4625,而成功日志ID为4624,我们继续筛选,这里建议使用刚刚工具分析(这个问题在HVV面试时经常会被问到)
已知为164个事件,使用工具导入此日志文件,根据爆破时间,这里进行降序查看
然后根据分析,查看网络IP地址,排除本机IP,已知登录成功IP地址为
192.168.150.1&192.168.150.128&192.168.150.178
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
当然了,还有个更方便的方法,事件ID筛选为4648,表示用使用凭据登录,挨个查看会更方便
| 题目 | 答案 |
|---|---|
| 提交黑客创建的隐藏账号 | flag{hacker$} |
黑客攻击者在登录winlog用户成功后,创建了隐藏账号,该账号在命令行是查询不到的
关于隐藏账号在用户组中可以查看到,快捷键WIN+R输入 ‘lusrmgr.msc’,看到用户中hacker$以及属性及所属的组
这里的hackers$本是影子账户,我不知道为什么这里会看到,连续操作了两遍还是这样,但是无法在此处删除的
| 题目 | 答案 |
|---|---|
| 提交黑客创建的影子账号 | flag{hackers$} |
影子账号真实环境中是无法在用户组/netuser/用户面板中看到,但是可以在注册表中看到并删除,快捷键WIN+R ‘regedit’
注册表地址:HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names
下图为hackers$对应的权限值/组信息/映射关系及用户相关目录,操作删除后将不存在此用户信息
对这两个目录进行删除,再去刚刚的用户/组 查看将没有了
正常来讲,影子用户确实除注册表,其它地方看不到的,这里可能我操作有问题
当然了,在桌面Dsafe目录下有D盾工具,使用管理员权限运行后,可以快速查询到本系统中存在的影子用户和克隆账户
| 题目 | 答案 |
|---|---|
| 提交远程shell程序的连接IP+端口,以IP:port方式提交 | flag{185.117.118.21:4444} |
在应急响应中应排查对外连接,这一步是必不可少的,使用netstat -nao查看到相应的端口状态,在后面看到可疑连接
由内对外连接,可拿着这个IP去查询到地区为国外的IP,如果说你没看到这个对外连接,说明连接超时了,因为对方本身就没开放这个端口,可重启环境后再次查看到,本身就为了模拟哈
在玄机包括实战中可看到不少的对外连接,这时候怎么排查呢,以玄机为例
可看到对外连接不少的互联网IP,排查思路如下
1. 根据外联IP地址进行排查,在情报平台进行查询
2. 根据端口进行排查,通常大端口或有特殊意义端口要确认
3. 依次根据PID进行排查,这个下面会讲到
| 题目 | 答案 |
|---|---|
| 黑客植入了一个远程shell,审计相关进程和自启动项提交该程序名字 | flag{xiaowei.exe} |
各位应该发现了,开机就外联了,这个时候我们应该联想到自启动,一般排查以下
1. C:\Users\winlog\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup
快捷命令:WIN+R shell:startup 将预自启动程序放入目录,会自启
2. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表自启动:快捷键:WIN+R regedit 将绝对路径下程序进行字符串值保存会开机自启
3. 搜索计划任务,进入任务计划程序,查看相关启动程序
当然了,在排查这些之前,我们需要知道在跑的程序是哪个,已知PID为2924(注意:此处如果突然没有外连,则是超时,需重启环境,这个没办法,不能做到真上线)
tasklist | findstr "2924"
使用以上命令查看到启动的文件为xiaowei.exe,但是不知道绝对路径如何处置
我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程,需要的小伙伴可以扫描下方二维码或链接免费领取~
wmic process get name,executablepath,processid | findstr 2856
通过以上命令可获取PID的执行文件绝对路径,看到目录在
当然了,我们也可以使用 netstat -naob查看进程的启动程序和端口
但是如需查看绝对路径的话还是按照上方方法,这里只是提供多一个方法排查参考
此时,我们继续按照上面思路排查自启动问题,看到自启动方法为注册表开机自启
将xiaowei.exe文件拖出来,拿到ida或者微步沙箱去看一下,明显的木马特征和Cobalt特征
包括到最后面的网络行为特征也能看到外联IP地址
| 题目 | 答案 |
|---|---|
| 黑客使用了计划任务来定时执行某shell程序,提交此程序名字 | flag{download.bat} |
上面已经说了关于计划任务的一些排查思路,按照实战中,攻击队或黑客为了权限维持,不会只放一个远控工具,一般会埋雷进行启动计划任务,根据上方思路排查到,计划任务程序中存在的计划
在每天的晚上23点07会进行下载xiaowei.exe文件,点进去查看执行的程序,可看到执行绝对路径
查看这个bat脚本,最后得到执行全过程,确认下载了xiaowei.exe文件到相关目录,最后每次开机自启xiaowei.exe文件上线
结语
本次环境依据多种实战环境+大赛进行复现,本次只学习其中排查思路,中间出现的一些问题可忽略过滤,有些地方无法做的太完美,希望各位理解。
网络安全学习资源分享:
给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
因篇幅有限,仅展示部分资料,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,请看下方扫描即可前往获取
👉1.成长路线图&学习规划👈
要学习一门新的技术,作为新手一定要先学习成长路线图,方向不对,努力白费。
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
👉2.网安入门到进阶视频教程👈
很多朋友都不喜欢晦涩的文字,我也为大家准备了视频教程,其中一共有21个章节,每个章节都是当前板块的精华浓缩。(全套教程扫描领取哈)
👉3.SRC&黑客文档👈
大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录
SRC技术文籍:
黑客资料由于是敏感资源,这里不能直接展示哦! (全套教程扫描领取哈)
👉4.护网行动资料👈
其中关于HW护网行动,也准备了对应的资料,这些内容可相当于比赛的金手指!
👉5.黑客必读书单👈
👉6.网络安全岗面试题合集👈
当你自学到这里,你就要开始思考找工作的事情了,而工作绕不开的就是真题和面试题。
所有资料共282G,朋友们如果有需要全套《网络安全入门+进阶学习资源包》,可以扫描下方二维码或链接免费领取~
原文地址:https://blog.csdn.net/A1353192296/article/details/143685891
免责声明:本站文章内容转载自网络资源,如本站内容侵犯了原著者的合法权益,可联系本站删除。更多内容请关注自学内容网(zxcms.com)!