玄机-第五章 Windows 实战-evtx 文件分析的测试报告

目录

一、测试环境

二、测试目的

三、操作过程

Flag1

Flag2

Flag3

Flag4

Flag5

四、结论

一、测试环境

靶场介绍：国内厂商设置的玄机靶场，以应急响应题目著名。

地址：https://xj.edisec.net/challenges/71

靶机简介：

二、测试目的

分析Windows日志，根据题目要求，找出对应flag并提交。

三、操作过程

Flag1

成功登录的日志在安全日志中，日志id：4624

登录的IP地址会在源忘了地址后面显示，不过过滤日志id后仍然有79条事件。为了减少排查时间和精力，可以将筛选过的日志文件另存为txt文件。

这里保存为4624.txt文件，可以使用正则表达式匹配源网络地址后面的IP，进行统计

cat 4624.txt | grep -E '源网络地址:\s*([0-9]+\.[0-9]+\.[0-9]+\.[0-9]+)' | sort | uniq -c | sort -nr

可以看到有三个IP地址，提交192.168.36.133为正确答案

Flag1：flag{192.168.36.133}

Flag2

同样在安全日志中，事件id：4738，它是用来创建、删除、修改等，专门用于记录用户账户被修改的事件，包括但不限于用户名的修改。

过滤后只有7条信息，经过翻看，只有三个账户名：administrator、Adnimistartro、Guest

查看Adnimistartro用户更改的属性，均为  -  ，很可疑，可能没做任何修改，只是改了用户名。提交为正确答案

Flag2：flag{Adnimistartro}

Flag3

同样在安全日志中，事件id：4663，它是Windows事件日志中用来记录对象访问尝试的安全审计事件，特别是文件和目录的访问尝试。

过滤后仍有206条数据，将其导出为4663.txt

使用正则表达式匹配访问的文件

cat 4663.txt | grep -E '对象名:\s*(\w:\\[^ ]+)' | sort | uniq -c | sort -nr

可以看到访问次数最多的文件是Windows系统中一个重要的配置文件，这个文件平时不经常被访问，这里很反常。而且只有它有后缀名，题目特意强调了提交flag不包含后缀，提交为正确答案

Flag3：flag{SCHEMA}

Flag4

在应用程序日志中，事件id：100，通常用于记录应用程序的启动信息

按照日期和时间进行降序排序，

向下找，可以发现第一个进程号是1052，但是提交并不正确。之后可以通过右侧的查找，使用进程号的关键词匹配下一个进程号

查找下一个进程号，下一个进程id是8820，提交为正确答案。

猜测题目应该是让提交2020/10/8当天最后一次重启数据库的进程号

Flag4：flag{8820}

Flag5

在系统日志中，事件id：1074，用于记录由用户、进程或系统管理员启动的系统重启、关闭或注销事件。

筛选完成后，一共9条记录，手动排查即可

修改后的用户名：Adnimistartro，有该用户的重新启动类型即可算一次，一共三次。

Flag5：flag{3}

四、结论

主要考察Windows事件查看器的日志分析方法，记住各种类型的id号。结合筛选技巧，即可快速找出需要的信息。