青少年ctf 日志排查 复盘

题目

时间:2025年12月17日 事件:安全运营中心(SOC)监测到数据库服务器流量异常,随后发现管理员组中出现不明账号。任务:请根据提供的日志文件(MSSQL ERRORLOG、Windows 安全日志、系统镜像/注册表),按时间顺序回答以下问题

任务1

在攻击真正发生之前,防火墙记录到了针对 SQL Server 的暴力破解行为。请找出发起暴力破解(大量登录失败)的 IP 地址。(按时间顺序用_连接,FLAG格式为:flag{ip_ip}

根据题目得到了很多重要的信息!那就直接去找sql的日志吧!

这里我直接用Windows_Log 工具进行分析。直接就找到了大量的爆破信息和攻击IP:192.168.146.135

然后再根据时间和登录成功的的ip发现了另一个ip:192.168.146.161

方法二

如果没有这个工具你就去 Application.evtx (Windows 的应用程序事件日志)中,用事件ID:1845618454 赛选。就能根据时间找到这两个ip

  • 18456 = SQL Server 登录失败

  • 18454 = SQL Server 登录成功

根据短时间登陆同一个用户sa 就可以推断出192.168.146.161 是第二个ip了!

所以flag为flag{192.168.146.135_192.168.146.161}

任务2

请分析 MSSQL 日志文件,找到攻击者 IP 192.168.146.135 在结束暴力破解后,首次成功使用"SQL Server 身份验证"建立连接的时间。FLAG格式为:flag{2025/01/01 11:00:01}

这个就简单了直接根据上一题和题目信息就能快速找到。

flag{2025/01/01 11:17:26}

方法二

直接第一题就拿到了!就是第一个ip

所以flag为flag{2025/01/01 11:17:26}

任务3

经分析,攻击者登陆数据库后进行了关键配置更改以启用命令执行功能。 请还原攻击者在该时间点内的完整配置修改链(按日志记录顺序)。FLAG格式为:flag{配置名1_配置名2}

用工具就跟简单了,直接就能发现配置信息。

flag{show advanced options_xp_cmdshell}

方法二

直接过滤15457 根据时间就能快速定位这两个配置。

15457 = SQL Server 配置选项更改

所以flag为flag{show advanced options_xp_cmdshell}

任务4

攻击者在执行复杂的命令前,先写入了一个测试文件以验证写入权限。请提供该测试文件的完整绝对路径。FLAG格式为:flag{C:\ABC\def.txt}

由题目可以知道上传的是txt文件,经过搜索在脚本的创建进程日志中找打了这个txt文件。

方法二

在windows的Security.evtx(安全日志)中直接筛选出来了!

所以flag为flag{C:\Windows\Temp\test.txt}

任务5

攻击者觉得通过数据库执行命令太麻烦,于是创建了一个系统后门用户 123。该后门用户的明文密码是什么?

直接随便在进程日志中找一下,就能找到。或者直接收123 也行!不过我这里脚本好像出问题了就直接找的!

方法二

我尝试了过滤了4720 结果什么都没有,过滤4688 有太多了,那就直接用查询内容,找123 或者add直接就发现了!

  • 4688 = 进程创建

  • 4720 = 用户账户创建

所以flag为flag{33arsierting}}

任务6

在创建完后门用户后,攻击者登录了服务器。请找出用户 123 首次 RDP 登录成功的精确时间(Logon Type为3的)。flag格式为:flag{2025/01/01 15:00:00}

这个也简单直接找登陆日志的Logon Type为3的

方法二

直接筛选4624 然后找最早的类型3的登陆。

4624 = 登陆成功

然后使用内容查询快速定位。

所以flag为flag{2025/12/17 15:06:03}

任务7

攻击者为了确保服务器重启后仍能控制机器,在系统中留下了三个持久化后门。 请找到这三处隐藏的字符串,并按以下顺序拼接:flag{flag1flag2flag3}

根据题目直接去筛选进程日志就可以了!

方法二

也是直接去筛选进程日志4688 )并用查找内容flag 就可以很快找到。

flag3

flag1

flag2

将这个拼接起来!

所以flag为flag{krjl424wq3453dalbzlmqu458xktq}

嘿嘿,完成了!对了工具链接为

Fheidt12/Windows_Log: 基于Go编写的windows日志分析工具

相关推荐
木木子2211 小时前
# 待办事项应用深度解析:ForEach 列表渲染与 CRUD 操作实战
windows·华为·harmonyos
l1t13 小时前
在linux和windows中解决duckdb 1.6dev版本输出执行计划报错问题
linux·运维·数据库·windows·duckdb
love530love13 小时前
WorkBuddy + 本地 ComfyUI MCP:免订阅费的自建方案
人工智能·windows·mcp·comfy cloud
四月天4314 小时前
web安全-SSTI(服务器模板注入)
笔记·学习·web安全·网络安全
假如梵高是飞行员15 小时前
WSL2 从 img 镜像文件启动特定 Linux 发行版完整指南
linux·windows·wsl
菩提小狗16 小时前
每日安全情报报告 · 2026-07-04
网络安全·漏洞·cve·安全情报·每日安全
Omics Pro20 小时前
首个针对生物医药LLM智能体的全流程过程级评测框架
数据库·人工智能·windows·redis·量子计算
红糖奶茶20 小时前
显卡打不上驱动的原因和解决办法
windows·电脑
一杯奶茶¥21 小时前
系统重装后如何使用万能驱动软件给新系统安装驱动
windows·电脑·系统重装
MOONICK1 天前
windows原生条件变量支持
c++·windows