【HTB】Sherlocks Logjammer 蓝队 easy

工具：Event Log Explorer

下载页面：https://eventlogxp.com/download.php?s=1&u=b

免费密钥：https://eventlogxp.com/free-personal.php

Task 1

问题：用户 cyberjunkie 何时成功登录他的计算机？ （世界标准时间）

1、根据题目筛选用户（cyberjunkie）

查看 Security.evtx 日志

2、查看筛选后的信息

第一个就是关于登录成功的日志

注意：题目要求世界时间，右上 UTC+8:00 代表东八区，也就是北京时间

答案：27/03/2023 14:37:09

Task 2

问题：用户篡改了系统上的防火墙设置。分析防火墙事件日志以找出添加的防火墙规则的名称？

1、获取用户 ID

2、筛选

查看 Windows Firewall-Firewall.evtx 日志，2004 代表添加

3、查看日志

添加 MSF，一眼就能看出问题，方向 2 代表出站

答案：Metasploit C2 Bypass

Task 3

问题：防火墙规则的方向是什么？

方向不是出站就是入站，task 2 中方向为 2，代表出站

答案：Outbound

Task 4

问题：用户更改了计算机的审核策略。此更改政策的子类别是什么？

1、查找关键字（审核策略）

查看 Security.evtx 日志

答案：Other Object Access Events

Task 5

问题：用户“cyberjunkie”创建了计划任务。这个任务的名字是什么？

1、筛选

查看 Security.evtx 日志

2、查看日志

答案：HTB-AUTOMATION

Task 6

问题：为任务安排的文件的完整路径是什么？

在 task 5 中的日志滑到最底下

答案：C:\Users\CyberJunkie\Desktop\Automation-HTB.ps1

Task 7

问题：该命令的参数是什么？

task 6 图中，参数在路径下面

答案：-A cyberjunkie@hackthebox.eu

Task 8

问题：系统上运行的防病毒软件识别出威胁并对其执行操作。哪个工具被防病毒软件识别为恶意软件？

1、筛选

查看 Windows Defender-Operational.evtx 日志

2、查看 waming

答案： SharpHound

Task 9

问题：引发警报的恶意软件的完整路径是什么？

答案：C:\Users\CyberJunkie\Downloads\SharpHound-v1.1.0.zip

Task 10

问题：防病毒软件采取了什么行动？

答案：Quarantine

Task 11

问题：用户使用Powershell执行命令。用户执行了什么命令？

查看 Powershell-Operational.evtx 日志

答案：Get-FileHash -Algorithm md5 .\Desktop\Automation-HTB.ps1

Task 12

问题：我们怀疑用户删除了一些事件日志。哪个事件日志文件被清除？

查看 System.evtx 日志

答案：Microsoft-Windows-Windows Firewall With Advanced Security/Firewall