【thm】日志基础知识-优快云博客

本文链接：https://blog.youkuaiyun.com/m0_62102520/article/details/143752140

0x00 日志基础

攻击者非常聪明。他们尽量避免在受害者这边留下痕迹，以避免被发现。然而，安全团队却成功确定了攻击是如何实施的，有时甚至成功找出了攻击的幕后黑手。

假设几名警察正在调查一桩珍贵的挂坠在一座积雪的丛林小屋中失踪的案件。他们发现小屋的木门被严重损坏，天花板倒塌。通往小屋的积雪小路上有一些脚印。最后，他们发现了一些来自邻近住宅的闭路电视录像。通过将所有这些痕迹拼凑在一起，警方成功确定了袭击的幕后黑手。在几起此类案件中都发现了各种痕迹；将所有这些痕迹拼凑在一起，你就能更接近罪犯。

日志的作用

0x01 日志类型

我们知道日志的类型有很多

如上图有系统日志，安全日志，网络日志等等，以下是关于日志的一些信息

系统日志

包括用户的一些登录，授权行为，与系统相关的一些信息

0x02 windows日志分析

与其他操作系统一样，Windows操作系统也会记录发生的许多活动。这些活动存储在独立的日志文件中，每个文件都有特定的日志类别。Windows 操作系统中存储的一些重要日志类型包括：

应用程序：操作系统上运行着许多应用程序。与这些应用程序相关的任何信息都记录在此文件中。这些信息包括错误、警告、兼容性问题等。
系统：操作系统本身有不同的正在运行的操作。与这些操作相关的任何信息都记录在系统日志文件中。这些信息包括驱动程序问题、硬件问题、系统启动和关闭信息、服务信息等。
安全性：就安全性而言，这是 Windows操作系统中最重要的日志文件。它记录所有与安全相关的活动，包括用户身份验证、用户帐户更改、安全策略更改等。

Windows操作系统有一个称为事件查看器的实用程序，它提供了一个良好的图形用户界面来查看和搜索这些日志中的任何内容。，我们可以实践以下，win+r，输入eventvwr，打开实践管理器，我们可以查看方便的查看一下事件。

Windows 事件日志如下所示。它包含不同的字段。主要字段如下所述：

描述：此字段包含活动的详细信息。
日志名称：日志名称表示日志文件名。
已记录：此字段表示活动的时间。
事件 ID：事件 ID 是特定活动的唯一标识符。

我们可以看到这个事件的id是4624，那么id代表这什么？

我们可以知道事件id为4624的表示为登录成功

我们可以点击右面的过滤器来进行过滤

我们过滤了全部id为4624的事件

我们可以进行练习

我们用rdp链接机器

创建一个账号会留下系统日志，在安全区，，我们直接去过滤，去过滤4720的id

我们点击那个最近的事件去查看name

提交hacked，完成任务

我们往上翻就可以看到了

时间也在上面

我们将过滤条件改成4724，表示更改密码

0x03 web日志访问分析

我们每天都会与许多网站互动。有时，我们只想查看网站，有时，我们想登录或将文件上传到任何可用的输入字段。这些只是我们向网站发出的不同请求。所有这些请求都由网站记录并存储在运行该网站的 Web 服务器上的日志文件中。

此日志文件包含对网站发出的所有请求以及时间范围、请求的 IP、请求类型和 URL 的信息。以下是从Apache Web 服务器访问日志文件的示例日志中提取的字段，该文件可在以下目录中找到：/var/log/apache2/access.log

通常一个日志文件包含以下内容

IP 地址： “172.16.0.1”- 发出请求的用户的 IP 地址。
时间戳： “[06/Jun/2024:13:58:44]”- 向网站发出请求的时间。
请求：请求的详细信息。
- HTTP方法： “GET”——告诉网站对请求执行什么操作。
- URL： “/”——请求的资源。
状态码： “200”-服务器的响应。不同的数字表示不同的响应结果。
用户代理： “Mozilla/5.0 (Macintosh; Intel Mac OS X 10_12_3) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/58.0.3029.110 Safari/537.36”——有关用户发出请求时的操作系统、浏览器等的信息。