Windows日志审计练习

已于 2024-10-27 22:25:58 修改
阅读量936 收藏 5
点赞数 25
分类专栏: 应急响应 文章标签: 网络安全
于 2024-03-29 15:18:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/m0_73481504/article/details/137146149
版权
本文探讨了Windows系统日志分析,涉及正常登录、账户操作、远程桌面(RDP)与SMB攻击检测,以及CTF中通过Apache和流量包审计寻找隐藏信息的过程。作者展示了如何利用access.log文件进行过滤和提取关键数据。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

1. Windows 系统日志分析

1) 系统正常启动

事件ID 4624登录成功登陆类型2,在本地键盘上进行的登录

事件ID4672为新登录分配特殊权限,记录登录用户名,登录用户权限

2) 账户管理

创建用户zc

事件4720

删除账户

3) RDP 爆破

4) IPC 连接

登录失败4625

登录成功4624

5) SMB 爆破

6) 日志清除

2. CTF5,Apache 日志审计,找到后台 shell

一共有174658次请求

状态码请求了多少次

·

tail -n1 access.log

输出文件的内容。-n1选项指定了只显示文件末尾的一行为数。这个命令常用于快速查看正在更新的日志文件的最新记录

过滤

3. CTF9,流量包审计,找到FLAG

http另存为jpg图片文件

将flag.jpg以Notepad++方式打开

将这两部分删除

Window日志分析
weixin_45116657的博客
10-28 2132
一、Windows事件日志简介 Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志。 系统日志 记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时...
日志集中审计系列(1)--- LogAuditor接收DAS设备syslog日志
接华为网络、网安方向小组作业,期末作业,课程设计、毕设等,有意可私信留言。
03-21 1006
使用LogAuditor接收DAS设备syslog日志的实操演示
windows取证
02-21
取证分析,从日志,内存等方面去分析当一个机器被入侵后,会出现一些什么情况。还有涉及到注册表,以及一些文件夹里面存在的历史记录等等。还有浏览器浏览记录
ctf 一题日志审计
为之的博客
07-16 5332
打开日志看下,前面看不出什么,但是最后面就很明显,url解码后是sq盲注 这是按照一般流程去盲注找出数据库、表、字段及它们的长度。 所以直接跳过 直到这附近, 随便打开一个解码 3' OR NOT ORD(MID((SELECT IFNULL(CAST(COUNT(*) AS CHAR),0x20) FROM flag.flag),1,1))>48# 这是对flag的每个字符判断其ascii值,本来应该是通过响应状态码来判断是否成功,但是所有的状态码200,但是 ...
BMZCTF 日志审计
qq_26243045的博客
11-28 512
下载后打开文件能看到是一堆日志文件,直接搜索关键词“CTF”或“FLAG”,然后搜索到一些注入代码的日志。 末尾存在ascii码,然后转换为字符串 编写脚本获取flag
Linux&Windows 日志分析 陇剑杯 CTF
m0_63416413的博客
04-02 2382
日志分析入门,根据日志学习linux日志windows日志,分析sql注入等 web security
windows日志审计
05-22
windows日志审计,用的是UDP通信
Windows审计跟踪Log
热门推荐
远有青山
09-24 1万+
Windows网络操作系统都设计有各种各样的日志文件,如应用程序日志,安全日志、系统日志、Scheduler服务日志、FTP日志、WWW日志、DNS服务器日志等等,这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时,这些日志文件通常会记录下我们操作的一些相关内容,这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测,系统就会在安全日志里迅速地记下探测者探测时所用
日志审计windows系统日志、linux日志
agrilly的博客
07-20 4257
日志审计windows、linux
CTF-日志文件分析溯源(中断WEB业务的IP)
asd158923328的博客
08-21 1753
靶场地址: https://www.mozhe.cn/bug/detail/Ujh0d1pHQ1JpUU5adUFNY0VsQmxxUT09bW96aGUmozhe 根据题意 进入环境,下载文件,记事本打开,搜索500(找到提交一个POST请求后导致出现500状态码的IP地址) 验证IP得到key ...
高级软件人才培训专家-CISP-4练习题四卷
03-10
### 高级软件人才培训专家-CISP-4练习题四卷知识点详解 #### 1. Windows 系统管理权限 **知识点**: 在 Windows 系统中,管理权限最高的组是 **administrator** 组。 - **解析**: 在 Windows 操作系统中,**...
Windows日志分析-应急响应实战笔记
最新发布
jihaichen的博客
10-23 808
Windows系统日志是记录系统中硬件、软件和系统问题的信息,同时还可以监视系统中发生的事件。用户可以通过它来 检查错误发生的原因,或者寻找受到攻击时攻击者留下的痕迹。 Windows主要有以下三类日志记录系统事件:应用程序日志、系统日志和安全日志
windows日志总结
ordar123的博客
06-09 8535
运行 secpol.msc 可以打开本地安全策略,依次点开本地策略-审核策略。可以看到windows默认情况是没有开启审核策略的,不开启策略的话,windows就不会记录某些事件,比如登录事件,进程创建事件等等。我们可以挨个手动修改审核策略的属性,将审核操作选上成功和失败。当然有简单方法:将下面脚本另存为bat,然后管理员运行就可以打开全部策略了。 Windows操作系统在其运行的生命周期中会记录其大量的日志信息,这些日志信息包括:Windows事件日志(Event Log),Windows服务器系统的
等保测评练习卷22
weixin_54799594的博客
08-01 1458
等保测评练习
windows服务器审计日志存放位置,windows服务器审计日志存放位置
weixin_32254411的博客
08-06 2875
windows服务器审计日志存放位置 内容精选换一换备份控制函数可帮助进行在线备份。pg_create_restore_point(name text)描述:为执行恢复创建一个命名点。(需要管理员角色)返回值类型:text备注:pg_create_restore_point创建了一个可以用作恢复目的、有命名的事务日志记录,并返回相应的事务日志位置。在恢复过程中,recovery_targecd /...
iframe src更改事件检测?_windows安全事件id汇总
weixin_39842955的博客
11-06 567
EVENT_ID 安全事件信息 1100 ----- 事件记录服务已关闭 1101 ----- 审计事件已被运输中断。 1102 ----- 审核日志已清除 1104 ----- 安全日志现已满 1105 ----- 事件日志自动备份 1108 ----- 事件日志记录服务遇到错误 4608 ----- W...
CTF论剑场web题目(持续更新)--日志审计
jiuyongpinyin的博客
07-19 1169
日志审计 首先打开日志,查找“200”,当然直接查找flag也是可以的: 会发现一大堆进行了url编码的东西,并且在它后面还出现了sqlmap,猜测是sql注入,把前面的url解码看一下: 解码后果然是sql注入的语句,并且是盲注,而且我们搜索是HTTP“200”,也就是链接成功,那就是说,这些是成功返回的字段,并且通过语句判断,我们箭头所指向的是ascii编码,那就是说,我们字段的第一个字符的ascii码是102。 通过对照表我们发现,第一个字符是f,我又测试了后面的几个,发现是flag,那么接
Win 运维 | Windows Server 系统事件日志浅析与日志审计实践
WeiyiGeek 唯一极客IT知识分享
04-16 2602
首先,由于企业网络安全等级保护要求以及安全运维工作的需求,企业安全运维人员需要了解企业内各业务系统的安全事件,以便及时发现并处理安全事件。当下在企业中仍有占有一定量的业务运行在 Windows Server 操作系统中,因此了解 Windows 事件日志对于企业安全运维人员来说是十分必要的。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值