1. Windows 系统日志分析
1) 系统正常启动
事件ID 4624登录成功登陆类型2,在本地键盘上进行的登录
事件ID4672为新登录分配特殊权限,记录登录用户名,登录用户权限
2) 账户管理
创建用户zc
事件4720
删除账户
3) RDP 爆破
4) IPC 连接
登录失败4625
登录成功4624
5) SMB 爆破
6) 日志清除
2. CTF5,Apache 日志审计,找到后台 shell
一共有174658次请求
状态码请求了多少次
·
tail -n1 access.log
输出文件的内容。-n1选项指定了只显示文件末尾的一行为数。这个命令常用于快速查看正在更新的日志文件的最新记录
过滤
3. CTF9,流量包审计,找到FLAG
http另存为jpg图片文件
将flag.jpg以Notepad++方式打开
将这两部分删除