前言

本次环境将从大赛内与实战环境相结合去了解在应急响应中Windows日志分析的几个关键点，符合大赛及真实环境案例，本次环境将从WEB层面的日志分析到主机内的几种关键日志分析和重点功能进行排查

题目描述：某台Windows服务器遭到攻击者入侵，管理员查看发现存在大量rdp爆破的请求，攻击者使用了不同位置的IP(此处模拟)，进行爆破并成功，并成功进入了系统，进入系统后又做了其它危害性操作，请根据各题目完成填写

* 本次环境仅供学习参考，答案不重要，重要的是思路

我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程，需要的小伙伴可以扫描下方二维码或链接免费领取~

2、环境复现

镜像下载地址：
百度网盘: https://pan.baidu.com/s/1AR8nQaTFxhzvxONmLKQ0qQ 提取码：52zd
夸克网盘：https://pan.quark.cn/s/29851fc7aceb  提取码：8JeP
天翼网盘: https://cloud.189.cn/t/jQJbeu6ZBBzq （访问码：il8x）(不限速)

一定主要看下方注意事项和题目哦

---

系统: Windows 7
CPU: 2颗
内存: 2G
空间: 保证不低于5G
其它傀儡机: 段内
账号/密码: winlog/winlog123注意: 远控软件内IP为虚拟IP，如在进行进程中没有找到相关外连，应该是由于连接超时造成的断开了，重启环境服务器或软件即可继续对外发起请求，请见谅
注意: 按照题目提示可以根据系统功能分析，或桌面工具进行辅助分析
注意: winlog用户在操作关于系统权限功能时，一定要使用管理员权限打开工具再去执行
如: cmd直接打开则可能无法进行操作系统权限性操作，需右击cmd-使用管理员权限打开，才可以，其它工具也如此
注意: 题目中shell如需在本地分析，提前关闭杀毒软件，会被杀掉，非免杀题目:1. 审计桌面的logs日志，定位所有扫描IP，并提交扫描次数2. 审计相关日志，提交rdp被爆破失败次数3. 审计相关日志，提交成功登录rdp的远程IP地址，多个以&连接,以从小到大顺序排序提交4. 提交黑客创建的隐藏账号5. 提交黑客创建的影子账号6. 黑客植入了一个远程shell，审计相关进程和自启动项提交该程序名字7. 提交远程shell程序的连接IP+端口，以IP:port方式提交8. 黑客使用了计划任务来定时执行某shell程序，提交此程序名字

---

题目	答案
审计桌面的logs日志，定位扫描IP，并提交扫描次数	flag{6385}

在桌面下有logs目录，目录中有access.log和error.log文件，这是nginx的日志，我们注意分析access.log，error是在服务出问题，比如出现500/502/504之类的故障才写入

观察其特征，127.0.0.1为本地IP，搭建后进行测试，192.168.150.1后面的url为业务站点IP(此处可以自行开启phpstudy进行测试)

接着就是192.168.150.33这个IP，通过url看到不正常的编码和后面的user-agent为nmap，判断这是傀儡机对web端口进行的web探测

再往下看就是192.168.150.67这个IP，最明显的特征就是WEB字典扫描，404的特征码以及各种漏扫特征，如ThinkPHP的payload

目前已知这两个IP为扫描特征，再往下看没什么特征了，而且这是在模拟，数据少，实战中这样看眼花也找不出来，所以此处我将access.log拖出来使用cmder进行查看，当然各位师傅也可以使用其它工具，比如脚本或者Linux命令进行排查，这里使用命令

awk '{print $1}' access.log | sort | uniq -c | sort

以IP的为基准进行排序，看到192.168.150.67扫描最多，我们将它和192.168.150.33进行相加得出共扫描次数为6385次

题目	答案
审计相关日志，提交rdp被爆破失败次数	flag{2594}

通过事件日志进行查看，快捷键WIN+R输入 ‘eventvwr.msc’ 进入事件查看，点击安全，可以看到账户类操作日志

然后根据要求进行筛选，事件ID为4625，可以看到登录失败次数为2594次

当然了，如果想要更好的分析，可以将当前筛选日志进行导出，我这里导出到了桌面

然后根据桌面准备的辅助工具 FullEventLogView 导入分析

导入后可以快速分析到对方爆破的IP地址，至于为啥有的请求没有IP，我怀疑是爆破工具的问题

题目	答案
审计相关日志，提交成功登录rdp的远程IP地址，多个以&连接,以从小到大顺序排序提交	flag{192.168.150.1&192.168.150.128&192.168.150.178}

继续审核日志，登录失败日志ID为4625，而成功日志ID为4624，我们继续筛选，这里建议使用刚刚工具分析(这个问题在HVV面试时经常会被问到)

已知为164个事件，使用工具导入此日志文件，根据爆破时间，这里进行降序查看

然后根据分析，查看网络IP地址，排除本机IP，已知登录成功IP地址为

192.168.150.1&192.168.150.128&192.168.150.178

我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程，需要的小伙伴可以扫描下方二维码或链接免费领取~

当然了，还有个更方便的方法，事件ID筛选为4648，表示用使用凭据登录，挨个查看会更方便

题目	答案
提交黑客创建的隐藏账号	flag{hacker$}

黑客攻击者在登录winlog用户成功后，创建了隐藏账号，该账号在命令行是查询不到的

关于隐藏账号在用户组中可以查看到，快捷键WIN+R输入 ‘lusrmgr.msc’，看到用户中hacker$以及属性及所属的组

这里的hackers$本是影子账户，我不知道为什么这里会看到，连续操作了两遍还是这样，但是无法在此处删除的

题目	答案
提交黑客创建的影子账号	flag{hackers$}

影子账号真实环境中是无法在用户组/netuser/用户面板中看到，但是可以在注册表中看到并删除，快捷键WIN+R ‘regedit’

注册表地址：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names

下图为hackers$对应的权限值/组信息/映射关系及用户相关目录，操作删除后将不存在此用户信息

对这两个目录进行删除，再去刚刚的用户/组 查看将没有了

正常来讲，影子用户确实除注册表，其它地方看不到的，这里可能我操作有问题

当然了，在桌面Dsafe目录下有D盾工具，使用管理员权限运行后，可以快速查询到本系统中存在的影子用户和克隆账户

题目	答案
提交远程shell程序的连接IP+端口，以IP:port方式提交	flag{185.117.118.21:4444}

在应急响应中应排查对外连接，这一步是必不可少的，使用netstat -nao查看到相应的端口状态，在后面看到可疑连接

由内对外连接，可拿着这个IP去查询到地区为国外的IP，如果说你没看到这个对外连接，说明连接超时了，因为对方本身就没开放这个端口，可重启环境后再次查看到，本身就为了模拟哈

在玄机包括实战中可看到不少的对外连接，这时候怎么排查呢，以玄机为例

可看到对外连接不少的互联网IP，排查思路如下

1. 根据外联IP地址进行排查，在情报平台进行查询
2. 根据端口进行排查，通常大端口或有特殊意义端口要确认
3. 依次根据PID进行排查，这个下面会讲到

题目	答案
黑客植入了一个远程shell，审计相关进程和自启动项提交该程序名字	flag{xiaowei.exe}

各位应该发现了，开机就外联了，这个时候我们应该联想到自启动，一般排查以下

1. C:\Users\winlog\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup  
快捷命令：WIN+R shell:startup 将预自启动程序放入目录，会自启
2. HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run
注册表自启动：快捷键：WIN+R regedit 将绝对路径下程序进行字符串值保存会开机自启
3. 搜索计划任务，进入任务计划程序，查看相关启动程序

当然了，在排查这些之前，我们需要知道在跑的程序是哪个，已知PID为2924(注意：此处如果突然没有外连，则是超时，需重启环境，这个没办法，不能做到真上线)

tasklist | findstr "2924"

使用以上命令查看到启动的文件为xiaowei.exe，但是不知道绝对路径如何处置

我给大家准备了一份全套的《网络安全入门+进阶学习资源包》包含各种常用工具和黑客技术电子书以及视频教程，需要的小伙伴可以扫描下方二维码或链接免费领取~

wmic process get name,executablepath,processid | findstr 2856

通过以上命令可获取PID的执行文件绝对路径，看到目录在

当然了，我们也可以使用 netstat -naob查看进程的启动程序和端口

但是如需查看绝对路径的话还是按照上方方法，这里只是提供多一个方法排查参考

此时，我们继续按照上面思路排查自启动问题，看到自启动方法为注册表开机自启

将xiaowei.exe文件拖出来，拿到ida或者微步沙箱去看一下，明显的木马特征和Cobalt特征

包括到最后面的网络行为特征也能看到外联IP地址

题目	答案
黑客使用了计划任务来定时执行某shell程序，提交此程序名字	flag{download.bat}

上面已经说了关于计划任务的一些排查思路，按照实战中，攻击队或黑客为了权限维持，不会只放一个远控工具，一般会埋雷进行启动计划任务，根据上方思路排查到，计划任务程序中存在的计划

在每天的晚上23点07会进行下载xiaowei.exe文件，点进去查看执行的程序，可看到执行绝对路径

查看这个bat脚本，最后得到执行全过程，确认下载了xiaowei.exe文件到相关目录，最后每次开机自启xiaowei.exe文件上线

结语

本次环境依据多种实战环境+大赛进行复现，本次只学习其中排查思路，中间出现的一些问题可忽略过滤，有些地方无法做的太完美，希望各位理解。

网络安全学习资源分享:

给大家分享一份全套的网络安全学习资料，给那些想学习 网络安全的小伙伴们一点帮助！

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

因篇幅有限，仅展示部分资料，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，请看下方扫描即可前往获取

👉1.成长路线图&学习规划👈

要学习一门新的技术，作为新手一定要先学习成长路线图，方向不对，努力白费。

对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。可以说是最科学最系统的学习路线，大家跟着这个大的方向学习准没问题。

👉2.网安入门到进阶视频教程👈

很多朋友都不喜欢晦涩的文字，我也为大家准备了视频教程，其中一共有21个章节，每个章节都是当前板块的精华浓缩。（全套教程扫描领取哈）

👉3.SRC&黑客文档👈

大家最喜欢也是最关心的SRC技术文籍&黑客技术也有收录

SRC技术文籍：

黑客资料由于是敏感资源，这里不能直接展示哦！ （全套教程扫描领取哈）

👉4.护网行动资料👈

其中关于HW护网行动，也准备了对应的资料，这些内容可相当于比赛的金手指！

👉5.黑客必读书单👈

👉6.网络安全岗面试题合集👈

当你自学到这里，你就要开始思考找工作的事情了，而工作绕不开的就是真题和面试题。

所有资料共282G，朋友们如果有需要全套《网络安全入门+进阶学习资源包》，可以扫描下方二维码或链接免费领取~