打开题目,有一段描述,大概内容为:我们 CEO 的计算机在一次网络钓鱼攻击中遭到破坏。攻击者小心地清除了 PowerShell 日志,所以我们不知道他们执行了什么。你能帮助我们吗?
下载下来文件,使用hack the box解压后,能发现全是windows日志文件。
一共323个文件,这把完犊子了,不会要一个一个看吧。evtx文件是日志文件格式,可以使用windows自带的事件查看器查看。
打开后,选择右边的打开日志文件,就会加载进来。记得命名改一下,防止与本地的重复。
先从Application日志看看,Application日志是应用程序日志文件。
选择右边的筛选当前日志,勾选弹出的窗口中的警告,关键,错误日志。
点击错误日志,在下方能看到具体的事件信息。
Application日志文件似乎没有什么,题目说powershell的日志文件被删除了,那么我们去看看powershell文件到底什么情况。
注意,powershell大小为68KB,我们使用事件查看器打开发现是空白,那么说明什么?说明68KB大小的文件我们完全不用看了。一下子少了很多文件,只要看选中的这28文件。
我们继续看这个Microsoft-Windows-SystemDataArchiver%4Diagnostic.evtx,打开后继续筛选上面三种类型的日志。
这里面日志一共为两种,一种是Skipping stale record for adapter,一种是Querying count。搜了下两个日志,都没能提供足够的信息。
我们继续看下一个,Microsoft-Windows-PowerShell%4Operational.evtx,看这个名字,应该能知道,这是Powershell的操作文件,继续打开,筛选。
点开第一条警告日志,能明显看到几个比较危险的词,mimikatz,powershell请求了一段地址。
我们拉到最后,看最开始操作了什么。
常规信息栏,我们继续往下看,发现了flag,就差写在脸上了。