全网首发
工具:Event Log Explorer
过于简单
Task 1
问题:用户 cyberjunkie 何时成功登录他的计算机? (世界标准时间)
0、下载
下载页面:https://eventlogxp.com/download.php?s=1&u=b
免费密钥:https://eventlogxp.com/free-personal.php
1、根据题目筛选用户(cyberjunkie)
查看 Security.evtx 日志
2、查看筛选后的信息
第一个就是关于登录成功的日志
注意:题目要求世界时间,右上 UTC+8:00 代表东八区,也就是北京时间
答案:27/03/2023 14:37:09
Task 2
问题:用户篡改了系统上的防火墙设置。分析防火墙事件日志以找出添加的防火墙规则的名称?
1、获取用户 ID
2、筛选
查看 Windows Firewall-Firewall.evtx 日志
3、查看日志
添加 MSF,一眼就能看出问题,方向 2 代表出站
答案:Metasploit C2 Bypass
Task 3
问题:防火墙规则的方向是什么?
方向不是出站就是入站,task 2 中方向为 2,代表出站
答案:Outbound
Task 4
问题:用户更改了计算机的审核策略。此更改政策的子类别是什么?
1、查找关键字(审核策略)
查看 Security.evtx 日志
答案:Other Object Access Events
Task 5
问题:用户“cyberjunkie”创建了计划任务。这个任务的名字是什么?
1、筛选
查看 Security.evtx 日志
2、查看日志
答案:HTB-AUTOMATION
Task 6
问题:为任务安排的文件的完整路径是什么?
在 task 5 中的日志滑到最底下
答案:C:\Users\CyberJunkie\Desktop\Automation-HTB.ps1
Task 7
问题:该命令的参数是什么?
task 6 图中,参数在路径下面
答案:-A cyberjunkie@hackthebox.eu
Task 8
问题:系统上运行的防病毒软件识别出威胁并对其执行操作。哪个工具被防病毒软件识别为恶意软件?
查看 Windows Defender-Operational.evtx 日志
2、查看 waming
答案: SharpHound
Task 9
问题:引发警报的恶意软件的完整路径是什么?
答案:C:\Users\CyberJunkie\Downloads\SharpHound-v1.1.0.zip
Task 10
问题:防病毒软件采取了什么行动?
答案:Quarantine
Task 11
问题:用户使用Powershell执行命令。用户执行了什么命令?
查看 Powershell-Operational.evtx 日志
答案:Get-FileHash -Algorithm md5 .\Desktop\Automation-HTB.ps1
Task 12
问题:我们怀疑用户删除了一些事件日志。哪个事件日志文件被清除?
查看 System.evtx 日志
答案:Microsoft-Windows-Windows Firewall With Advanced Security/Firewall
- 蓝队 Sherlocks Logjammer easy HTB蓝队sherlocks logjammer easy 蓝队sherlocks tracer easy 蓝队sherlocks lockpick easy 蓝队hyperfiletable sherlocks easy 蓝队sherlocks-litter sherlocks litter 蓝队sherlocks-meerkat sherlocks meerkat 蓝队sherlocks-bumblebee bumblebee sherlocks 红队broker easy htb 红队devvortex easy htb 红队analytics easy htb