Windows日志审计练习

已于 2024-03-29 15:25:29 修改
阅读量490 收藏 3
点赞数 25
分类专栏: 日志审计 文章标签: 网络安全
于 2024-03-29 15:18:49 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_73481504/article/details/137146149
版权

1. Windows 系统日志分析

1) 系统正常启动

事件ID 4624登录成功登陆类型2,在本地键盘上进行的登录

事件ID4672为新登录分配特殊权限,记录登录用户名,登录用户权限

2) 账户管理

创建用户zc

事件4720

删除账户

3) RDP 爆破

4) IPC 连接

登录失败4625

登录成功4624

5) SMB 爆破

6) 日志清除

2. CTF5,Apache 日志审计,找到后台 shell

一共有174658次请求

状态码请求了多少次

·

tail -n1 access.log

输出文件的内容。-n1选项指定了只显示文件末尾的一行为数。这个命令常用于快速查看正在更新的日志文件的最新记录

过滤

3. CTF9,流量包审计,找到FLAG

http另存为jpg图片文件

将flag.jpg以Notepad++方式打开

将这两部分删除

Caliy_
关注
  • 25
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 2
    评论
专栏目录
CTF之misc-日志分析
Battery的博客
05-04 8万+
1、注入审计 出题人通常会使用sqlmap去跑一个注入点,跑出数据后将日志留存,让参 赛者判断sqlmap注出了什么数据,此数据通常就为flag。 2、命令执行审计 出题人通常会利用一句话木马,进行一系列敏感操作,或者假装一开始不知 道一句话木马的密码,从而进行一系列的爆破行为,让参赛者判断一句话木 马的密码。 ......
ctf 一题日志审计
为之的博客
07-16 4830
打开日志看下,前面看不出什么,但是最后面就很明显,url解码后是sq盲注 这是按照一般流程去盲注找出数据库、表、字段及它们的长度。 所以直接跳过 直到这附近, 随便打开一个解码 3' OR NOT ORD(MID((SELECT IFNULL(CAST(COUNT(*) AS CHAR),0x20) FROM flag.flag),1,1))>48# 这是对flag的每个字符判断其ascii值,本来应该是通过响应状态码来判断是否成功,但是所有的状态码200,但是 ...
CTF——流量分析题型整理总结
小锤队长的博客
12-19 4万+
我见过的流量分析类型的题目总结: 一,ping 报文信息 (icmp协议) 二,上传/下载文件(蓝牙obex,http,难:文件的分段上传/下载) 三,sql注入攻击 四,访问特定的加密解密网站(md5,base64) 五,后台扫描+弱密码爆破+菜刀 六,usb流量分析 七,WiFi无线密码破解 八,根据一组流量包了解黑客的具体行为 例题: 一,ping 报文信息 (icm...
BMZCTF日志审计
末初的CSDN博客
12-13 1806
http://bmzclub.cn/challenges#%E6%97%A5%E5%BF%97%E5%AE%A1%E8%AE%A1 logcheck.log 盲注的日志,将flag.php这块的内容提取出来 192.168.0.1 - - [13/Oct/2018:12:38:14 +0000] "GET /flag.php?user=hence%27%20AND%20ORD%28MID%28%28SELECT%20IFNULL%28CAST%28secret%20AS%20CHAR%29%2C0x2
Bugku:分析 日志审计
qq_26961571的博客
11-18 720
打开这道题,日志审计,第一次接触这样的题目。 打开压缩包之后只有一个txt文件。 打开这个文件就是密密麻麻 用Sublime打开之后, 比较清晰一点。 找到其中有URL类型的语句, 解码之后看看。 其他的语句也一样,不难想到是sql注入类型的语句, 可以搜索一下flag, 真的有一堆的语句,将这部分复制下来,进行URL解码, 有ORD(MID)表示用二分法盲注,观察到后面有200,404 之类的状态码。404...
Windows日志外发配置
05-18
用evntlog配置Windows日志外发
rsyslog所有用户日志审计
12-22
rsyslog所有用户日志审计 rsyslog所有用户日志审计是指通过rsyslog来收集和记录所有用户的日志信息,包括普通用户和root用户。这种日志审计可以帮助管理员追踪用户的操作记录,检测潜在的安全威胁和问题。 rsyslog...
Windows系统日志审计.docx
09-27
Windows 系统日志审计 Windows 系统日志审计是指对 Windows 服务器中各种日志的收集、存储、分析和报告,以便管理员能够快速响应服务器工作出现的异常情况,及时定位受到入侵的服务,发现黑客入侵的手段,找到系统...
windows日志审计
05-22
windows日志审计,用的是UDP通信
日志审计管理规定.doc
03-26
日志审计管理规定
针对CTF线下赛的通用WAF源码+项目说明(日志审计功能).zip
最新发布
01-30
【资源说明】 1、该资源包括项目的全部源码,下载可以直接使用! 2、本项目适合作为计算机、数学、电子信息等专业的课程设计、期末大作业和毕设项目,作为参考资料学习借鉴。 3、本资源作为“参考资料”如果需要实现其他功能,需要能看懂代码,并且热爱钻研,自行调试。 针对CTF线下赛的通用WAF源码+项目说明(日志审计功能).zip
php代码审计ctf隐藏了目录,CTFSHOW 代码审计
weixin_33940031的博客
03-16 290
web301下载下来源码,发现checklogin.php里面的sql语句没有任何的过滤。所以直接注入就可以了。用sqlmap跑了下得到用户名密码 admin ctfshowwwww登陆进去就有flagpython sqlmap.py -u http://e62c174a-c4d4-4a58-a392-a41bfca926ee.chall.ctf.show/checklogin.php --for...
网站服务器记录攻击日志ctf,通过网站日志分析sql注入攻击的痕迹
weixin_28805935的博客
08-05 2783
一次偶然的机会,我的朋友给我发了一个日志文件,让我看一下服务器access.log文件,说是CTF的题目,给了它这样一个access文件,随后要了flag。因为我是专业划水的,CTF基本上不碰它,我也不知道怎么做,所以我试着分析了一下下。打开网站日志文件。文件里的内容基本都很长。浏览完日志文件,发现CTF这么直接,没有干扰流量,整个文件只有一个访客。因此,不需要找到攻击者的地址。在实际的安全事件分...
BMZCTF 日志审计
qq_26243045的博客
11-28 392
下载后打开文件能看到是一堆日志文件,直接搜索关键词“CTF”或“FLAG”,然后搜索到一些注入代码的日志。 末尾存在ascii码,然后转换为字符串 编写脚本获取flag
CTF论剑场web题目(持续更新)--日志审计
jiuyongpinyin的博客
07-19 999
日志审计 首先打开日志,查找“200”,当然直接查找flag也是可以的: 会发现一大堆进行了url编码的东西,并且在它后面还出现了sqlmap,猜测是sql注入,把前面的url解码看一下: 解码后果然是sql注入的语句,并且是盲注,而且我们搜索是HTTP“200”,也就是链接成功,那就是说,这些是成功返回的字段,并且通过语句判断,我们箭头所指向的是ascii编码,那就是说,我们字段的第一个字符的ascii码是102。 通过对照表我们发现,第一个字符是f,我又测试了后面的几个,发现是flag,那么接
记一次CTF过程(Writeup)
热门推荐
_Ralph的博客
01-17 4万+
前言在i春秋平台看到几个ctf练习题,就点进去看看吧,能做就做不能做说明水平有限,还要继续加油(革命尚未成功,同志仍需努力)O(∩_∩)O哈哈~第一题:Robot题目名称:Robot有没有觉得这个题目很熟悉?没错robots.txt!很熟悉。可能解题思路就和robots.txt有关了。访问链接,网页显示位一张机器人的图片,没什么信息,网页源代码同样没有什么具有价值的信息。那我们就抓个包看看吧,用b
CTF之代码审计汇总
D-R0s1的博客
10-08 7084
  最近在做bugku中代码审计的题目,发现了web题目中存在着大量的php漏洞以及弱类型函数的绕过问题,现在借着bugku中的题目来统一的整理一下。希望通过整理可以温故而知新。 第一题:extract变量覆盖 焦点:extract($_GET) <?php $flag='xxx'; extract($_GET); if(isset($shiyan)) { $content=trim(fi...
bugku 日志审计
爱党人士
08-20 1690
不得不说,这是bugku流量分析中挺复杂的一道流量分析题。 下载后是一个txt 不用pcap的原因应该是可能怕我们提取数据太麻烦,写脚本不好写,因此直接给个txt文件。 那么先打开txt文件分析, 这个已经很友善了,网址那里已经sqli_blind提示了, 那么这就是一道sql盲注复现的流量分析。 知识点: sql二分法盲注 一些sql常见语句 分析正常字符出现的条件 写脚本进行数据提取(ps:...
Windows安全审计
11-06
Windows安全审计主要包括三个日志:系统日志、应用程序日志和安全日志。其中,安全日志是最重要的日志,它记录了与安全相关的事件,如用户登录、对象访问、权限更改等。Windows安全审计可以帮助管理员及时发现系统中...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值