[HackTheBox系列] 取证分析 - Event Horizon Writeup

最新推荐文章于 2022-09-04 21:09:04 发布
最新推荐文章于 2022-09-04 21:09:04 发布
阅读量305 收藏
点赞数
文章标签: wireshark windows 网络安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/mole_exp/article/details/124807390
版权

文章目录

题目

在这里插入图片描述
题目如上图,我们的CEO的电脑在一次网络钓鱼攻击中被攻破。攻击者特意清除了PowerShell日志,所以我们不知道他们执行了什么。你能帮助我们吗?

Windows日志分析

下载所需文件,解压后可以看到一堆Windows事件日志文件.
在这里插入图片描述
由于题目已经告诉我们,Powershell日志被攻击者清除了,所以想从这些日志里面查找执行了哪些powershell指令。可以根据文件名过滤出含有powershell的文件,如下:
在这里插入图片描述
如上图可看到文件名包含powershell的文件共有4个,但其中的Microsoft-Windows-PowerShell%4Operational.evtx 文件的大小为5M多,其他几个都是差不多70KB,所以我们优先查看Microsoft-Windows-PowerShell%4Operational.evtx

evtx文件在Windows下是有自带工具打开的,这个工具就是事件查看器。打开日志文件后,可以看到有"警告" 和 “信息” 两种告警级别的信息。我们这里优先观察 “警告” 级别的日志。

将"警告"级别的日志按照时间排序后,一开始我们就能看到使用PowerSploit 这款基于Powershell的后渗透工具的记录。
在这里插入图片描述
在这里插入图片描述
在事件ID为4104 的日志记录里,可以看到使用PowerSploit执行了很多后渗透的工作(因为目前笔者对Powershell不熟,所以无法分析出都做了些什么)。而在事件ID为4100 的日志记录里,可以看到使用了Mimikatz这款工具,但被反病毒软件阻止了。
在这里插入图片描述
我们可以在事件ID 4104 的其中一条日志记录中找到flag:
在这里插入图片描述

xc8qanAFenlka@x1
关注
[HackTheBox系列] 取证分析 - Marshal in the Middle Writeup
mole_exp的博客
05-16 378
[HackTheBox系列] 取证分析 - Marshal in the Middle Writeup
[HackTheBox系列] 取证分析 - Chase Writeup
mole_exp的博客
05-15 592
[HackTheBox系列] 取证分析 - Chase Writeup
hack the box-challenges:Event Horizon题解
zr1213159840的博客
04-29 515
打开题目,有一段描述,大概内容为:我们 CEO 的计算机在一次网络钓鱼攻击中遭到破坏。攻击者小心地清除了 PowerShell 日志,所以我们不知道他们执行了什么。你能帮助我们吗? 下载下来文件,使用hack the box解压后,能发现全是windows日志文件。 一共323个文件,这把完犊子了,不会要一个一个看吧。evtx文件是日志文件格式,可以使用windows自带的事件查看器查看。 打开后,选择右边的打开日志文件,就会加载进来。记得命名改一下,防止与本地的重复。 先从Application日
2022/03/26hackthebox取证emo病毒分析报告(下)
A的博客
03-26 239
本文将对2022/03/25hackthebox取证emo病毒分析报告(上)进行补充和更正 上文说到命令在下面一行执行 Rom9dzby5v3unv8. _ Create AWLDFu7C7y(I51m0kjl96lpdcfhm(Dbx3w8eu9966odzw7)), Kw8r40ymn9ne3xu, Nzkctvs5ewy_ds 当我们打一个断点,发现两行同时被打上了断点 现在用burpsuite看看有什么猫腻 点开decoder模块 上面是原文 下面是我改的 这个0a是换行符 20是空格 源代是换
Windows应急响应基础
Canterlot的博客
09-04 1304
包含了windows应急响应的基础知识、操作方法和相关工具的用法
VMware-Horizon-Extras-Bundle-5.1.0-13920927.zip
09-30
总的来说,VMware-Horizon-Extras-Bundle-5.1.0-13920927.zip提供了全面的工具集,帮助IT管理员优化和管理VMware Horizon环境,确保用户获得稳定、高效的远程桌面体验。通过调整这些admx文件中的策略,管理员可以...
VMware-Horizon-Client-2103-8.2.0-17759012.exe
02-21
VMware-Horizon-Client-2103-8.2.0-17759012.exe
VMware-Horizon-Client-5.2.0-14570289.exe
02-22
VMware-Horizon-Client-5.2.0-14570289 远程云桌面的必备工具 非常好的工具
VMware-Horizon-Client-2212-8.8.0-21079405
03-17
VMware-Horizon-Client-2212-8.8.0-21079405.exe VMware Horizon 远程 虚拟化
VMware-Horizon-View-HTML-Access-4.10.0-10935101.zip
09-30
在“VMware-Horizon-View-HTML-Access-4.10.0-10935101”这个版本中,我们聚焦于HTML Access的最新功能和改进。 1. **HTML5技术的应用**:VMware Horizon View HTML Access利用HTML5技术,确保用户可以在各种现代...
windows事件ID及解释大全(非常完整).doc
05-31
windows事件ID及解释大全 不同版本windows操作系统的事件ID
windows终端事件日志监控指南
12306小哥
08-22 1万+
windows事件监控指南 推荐收集的活动日志 账户使用情况 收集和审核用户帐户信息。 跟踪本地帐户使用情况有助于安全分析人员检测传递哈希活动和其他未经授权的帐户使用情况。 还可以跟踪其他信息,例如远程桌面登录,添加到特权组的用户以及帐户锁定。 值得注意的是,你要特别关注那些被提升为特权组的用户帐户,以确保用户被提升到特权组的行为是正常的,经过内部审核的,而不是未授权的。 未经审核授权的特权组成员...
DNS服务器上出现事件ID 4004/4015的错误的解决方法
wangxiaofei2006的专栏
12-22 9389
DNS服务器上出现事件ID 4004/4015的错误,这可能是由于在DNS数据库中记录了一些不正确的信息,或者是由于您的域控制器的DNS服务配置不当引起的。建议您备份DNS数据库后,根据以下步骤操作: 1. 运行ipconfig /all 检查TCP/IP协议的配置是否正确,请把主DNS服务器指向PDC。 2. 删除domain.com区域中的_msdcs文件夹,然后重新注册该信息。
应急响应 | Windows事件ID及解释大全
热门推荐
.
09-10 1万+
0 操作成功完成。 1 函数不正确。 2 系统找不到指定的文件。 3 系统找不到指定的路径。 4 系统无法打开文件。 5 拒绝访问。 6 句柄无效。 7 存储控制块被损坏。 8 存储空间不足,无法处理此命令。 9 存储控制块地址无效。 10 环境不正确。 11 试图加载格式不正确的程序。 12 访问无效。 13 数据无效。 14 存储空间不足,无法完成此操作。 15 系统找不到指定的驱动器。 16 无法删除目录。 17 系统无法将文件移到不同的驱动器。 18 没有更多文件。 19 介质受写入保护。 20
Windows痕迹清除技术
Captain_RB的博客
12-24 7393
系统入侵后要对操作痕迹进行清除,如果上传工具和木马文件要做隐藏和伪装,以免引起警觉甚至丢失目标,“清道夫”的工作虽有些烦杂,但这些工作直接影响到目标控守的持久性,文章介绍Windows系统下痕迹清除的常见操作。......
横向移动检测之远程执行(五)PowerShell
qq_27828281的博客
12-14 2615
横向移动——PowerShell远程执行分析及溯源
消息 4104,级别 16,状态 1,第 1 行 无法绑定由多个部分组成的标识符 "dbo.dzgw_Docs.rec_id"。
xiaoerbuyu1233的博客
11-15 2075
  此类问题解决办法: 查看是否在同一个表里做的操作(即连接的数据库是不是一个) 查看是否选择了两个表(我犯的这个错误)  select 表一.字段 from 表一 where 表一.字段=表二.字段 还是不行就给表加个别名试试 复制一个表的某个字段到另一个表的某个字段 UPDATE B表 SET B表.file_name = A表.fujian_chName FROM A表 WHER...
实验十:Web日志审计
kelxLZ的博客
06-01 1586
苏煜程 031803108 一、实验目的 让学生了解如下信息,并掌握具体的日志分析方法: 分析网站服务器(Web Server)日志是网站分析的重要方法 服务器日志记录了网站服务器的许多运行信息,这些信息能够帮助安全管理人员分析网站的流量和访问者在网站上的行为 二、实验原理 Web访问日志记录了Web服务器接收处理请求及运行时错误等各种原始信息。通过对WEB日志进行安全分析,不仅可以帮助网络管理员实时了解服务器的安全状况,还可以在网站被已经被黑客攻击造成经济损失的情况下,帮助分析安全攻击行为特征、溯.
s-05 horizon journey 3 mono soc与mcu通信协议_普通spi_v1.0
最新发布
08-18
s-05 horizon journey 3 mono soc与mcu通信协议_普通spi_v1.0是指s-05 horizon journey 3 mono系统芯片与mcu(主控单元)之间的通信协议,其使用的是普通SPI(串行外设接口)作为通信接口,当前版本为v1.0。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值