.png.c9b8f3e9eda461da3c0e9ca5ff8c6888.png)
ドメインのログは一般に.evtxで終了するため、ドメインのログを検索してdirコマンドを使用する必要があります
dir/s/b *.evtx
/s:サブディレクトリを含む再帰検索を意味します。
/b:結果が簡潔なモードで表示されることを意味し、ファイルパスのみが他の情報なしで表示されます。
ここでは、LogParserツールを使用して、ドメイン内のログ情報をエクスポートできます。 (ドメインコントロールホスト)
LogParserツールは、フィルタリングにSQLクエリメソッドを使用します。
次のディレクティブを使用して、文字列列とeventID列を介してドメイン内のユーザーのログイン動作をフィルタリングします。
logparser.exe -I:EVT -O:CSV 'SELECT RECORDNUMBER、TIMEWRITTEN、EVENTID、文字列、C3:へのメッセージ
-I:入力ファイルタイプ-O:出力ファイルタイプ
通常のドメインの普及中に、ドメイン制御を直接取得し、ドメイン制御ホストで動作してログをエクスポートします。一般に、分析のために指定されたメンバーホストのログをドメイン制御ログまたはログをエクスポートすることは非現実的です:1。VPNメソッド。 2。ソックストンネルを構築します。 3.リモートトロイの木馬メソッドを作成します。
クエリはVPN
を介してログを記録します一般的に言えば、VPNを介してターゲットホストを接続し、操作のためにイントラネット環境に入ります。
ここでは、ドメイン管理アカウントが取得され、エクスポートログ分析がドメイン管理資格情報を介して実行されると仮定します。
1。ホストのログインレコード
をクエリします最初にドメインコントロールのログストレージの場所を取得します
dir /s /b \\ 10.10.10.10 \ c $ \ security.evtx
ドメイン制御ログファイルは、コピー命令を介してローカルにコピーできます。
コピー\\ 10.10.10.10 \ c $ \ windows \ system32 \ winevt \ logs \ c: \ uses \ admins \ desktop \ log
ログファイルは非表示のファイルであるため、logparserを介してすべての.evtxファイルを直接エクスポートすることはできません(検索できません)
ただし、logparserを使用して部分的なログをリモートエクスポートできます
logparser.exe -i:evt -o:csv 'select * into c: \ 1.csv from \\ remoteserver \ security'
logparser.exe -i:evt -o:csv 'select * into c: \ 1.csv from \\ 10.10.10.10 \ security'
2。接続中のログのトレースをクエリ
ログトレースを照会する場合、まずこれらのログインに使用される認証方法を理解する必要があります。WindowsはデフォルトでNTML認証を使用し、Kerberos認証はドメインネットワークで使用されます。簡単に言えば、NTLMはホストとホストの間の直接的なインタラクティブ認証であり、Kerberosはサードパーティ(ドメインコントロール)によって認証されます。
ドメインコントロールは、ドメイン内のホストおよびドメインアカウントに資格情報のみを発行します。したがって、リモートホストポジショニングにIPを使用する場合、NTLM認証が使用され、ポジショニングにドメイン名またはマシン名を使用する場合、Kerberos認証が使用されます。
ネット使用を使用してリモート共有に接続するプロセスもログインプロセスです。したがって、ログインがある限り、ログに反映されます。
同じことが、dirとhostを使用して直接ログインすることにも当てはまります。
ログクエリ分析により、ホストはKerberos認証を使用して直接ログに記録することがわかりました。 DIRおよびネット使用を使用する場合、リモートホストがIPの場合、NTLM認証です。それどころか、ドメイン名またはマシン名が位置決めに使用される場合、それはポジショニングのためのKerberosです。
メンバーホストネット使用接続ドメインコントロールホスト
ntlm認証パケット
ネット使用\\ 10.10.10.10 \ IPC $
指示を通じて、この命令のログインはNTLM認証であるべきであることがわかります。
複数のテストの後、メンバーホストが上記のステートメントを使用してドメインコントロールホストに接続すると、次のレコードがドメインコントロールホストに残されることがわかりました。
最初のパッケージは、ドメインコントロールホストに接続するアカウントを確認するための資格情報です。
2番目のパッケージは、接続に権限を割り当てることです
3番目のパッケージは、ログインに成功したデータパッケージです
3番目のパッケージでは、メンバーホストのIPアドレス、マシン名、およびその他の情報を見ることができます。
S-1-0-0 | - | - |0x0 | S-1-5-21-3315874494-179465980-3412869843-1115 |管理| VVVV1 | 0 x889d1b | 3 | ntlmssp | ntlm | web-2003 | {0000000-0000-0000000-0000000000} | - | ntlm V1 | 128 |0x0 | - | 10.10.10.3 | 1280 | %% 1833 | - | - | | %% 1843 |0x0 | %% 1842
したがって、3番目の正常にログインしたデータパケットをリモートでエクスポートし、フィルタリングルールを変更して、ネット使用を通じてログ内のドメインコントロールのホスト情報を取得するだけです。
logparserツールを使用して、ログファイルをエクスポートします。
c: \ uses \ admins \ desktop \ logparser.exe -i:evt -o:csv 'select * into c: \ uses \ usedins \ desktop \ log \ 1.csv from \ 10.10.10.10 \ | ntlm |%。
文字列フィールドを通じて、ドメインコントロールに接続されているホストのIPとホスト名が表示されます。
Kerberos認証パケット
ネット使用\\ AD-2016 \ IPC $
複数のテストの後、メンバーホストが上記のステートメントを使用してドメインコントロールホストに接続されている場合、Kerberos認証を使用すると、ドメインコントロールホストに次のレコードが残ることがわかりました。
したがって、5番目の正常にログインしたパケットをリモートでエクスポートし、フィルタリングルールを変更して、ネット使用を介してログ内のドメインコントロールのホスト情報を取得するだけです。
S-1-0-0 | - | - |0x0 | S-1-5-21-3315874494-179465980-3412869843-500 |管理者| VVVV1.com |0x7C3DBEB9 | 3 | KERBEROS | K erberos || {ce15c23a-e7e3-3fc1-4a75-fdf339bec822} | - | - | 0 |0x0 | - | 10.10.10.12 | 50364 | %% 1840 | - | - | - | - | - | - | - %% 1843 |0x0 |%1842
logparserツールを使用して、ログファイルをエクスポートします。
c: \ uses \ admins \ desktop \ logparser.exe -i:evt -o:csv 'select * into c: \ uses \ usedins \ desktop \ log \ 1.csv from \ 10.10.10 \ SERTINGS '%|%$ |%' '
文字列フィールドを通じて、ドメインコントロールに接続されているホストのIPとアカウントを確認できます。
メンバーホストdirはドメインコントロールホストに接続します
ntlm認証パケット
dir \\ 10.10.10.10 \ c $
原則は正味使用と同じです。LogParserを使用して直接エクスポートしてください。
c: \ uses \ admins \ desktop \ logparser.exe -i:evt -o:csv 'select * into c: \ uses \ usedins \ desktop \ log \ 1.csv from \ 10.10.10.10 \ | ntlm |%。
Kerberos認証パケット
dir \\ ad-2016 \ c $
原則は正味使用と同じです。LogParserを使用して直接エクスポートしてください。
c: \ uses \ admins \ desktop \ logparser.exe -i:evt -o:csv 'select * into c: \ uses \ usedins \ desktop \ log \ 1.csv from \ 10.10.10 \ SERTINGS '%|%$ |%' '
メンバーホストはメンバーホストを接続します
dir \\ 10.10.10.10 \ c $
dir \\ web-2003 \ c $
最初の方法、つまりNTLM認証方法は、このログトレースをドメインコントロールホストのログにのみ残すことです。これはほとんど役に立たず、メイントレースは接続ホストのログに反映されます。
Kerberos認証法である2番目の方法は、ドメインコントロールホストに2つのログを残します。TGTを要求し、STログをリクエストします。
ログを検索するプロセスも上記に似ているため、ここでは説明しません。
メンバーホストは単独でログインします
ドメイン内のユーザーのアカウントでログインするユーザーのみに、ドメインコントロールホストにトレースが残ります。ローカルアカウントでログインすると、マシンのログにのみ反映されます。
ドメイン内のユーザーを使用してログインする場合、ドメインコントロールは認証にKerberosを使用することです。これは上記のKerberos認証パケットと同じです。
logparserツールを使用して、ログファイルをエクスポートします。
c: \ uses \ admins \ desktop \ logparser.exe -i:evt -o:csv 'select * into c: \ uses \ usedins \ desktop \ log \ 1.csv from \ 10.10.10 \ SERTINGS '%|%$ |%' '
クエリはソックスプロキシ
を介してログを記録します一般的に言えば、境界ホストを倒すと、ソックストンネルを構築し、地元のホストエージェントをイントラネットに操作のために持ち込みます。
まず、ハッシュ配信を使用して、外部ドメインホストに十分な権限があることを確認します。
テスト後、ハッシュパス操作はドメインコントロールとソックストンネルクライアントのホストにログトレースを生成しません。
1。ホストのログインレコード
をクエリします命令と操作はVPNの指示と同じです。
2。接続中のログのトレースをクエリ
リモートホストネット使用接続ドメインコントロールホスト
Proxifier ProxyツールはSocks環境のDNSプロキシを変更できず、ドメイン名とマシン名を正しく解決できないためです。したがって、IP操作のみを使用し、NTLM認証を使用できます。
ntlm認証パケット
ネット使用\\ 10.10.10.10 \ IPC $
指示を通じて、この命令のログインはNTLM認証であるべきであることがわかります。
複数のテストの後、メンバーホストが上記のステートメントを使用してドメインコントロールホストに接続すると、次のレコードがドメインコントロールホストに残されることがわかりました。
最初のパッケージは、ドメインコントロールホストに接続するアカウントを確認するための資格情報です。
2番目のパッケージは、接続に権限を割り当てることです
3番目のパッケージは、ログインに成功したデータパッケージです
3番目のパッケージでは、メンバーホストのIPアドレス、マシン名、およびその他の情報を見ることができます。
S-1-0-0 | - | - |0x0 | S-1-5-21-3315874494-179465980-3412869843-1115 |管理| VVVV1 | 0 x889d1b | 3 | ntlmssp | ntlm | web-2003 | {0000000-0000-0000000-0000000000} | - | ntlm V1 | 128 |0x0 | - | 10.10.10.3 | 1280 | %% 1833 | - | - | | %% 1843 |0x0 | %% 1842
したがって、3番目の正常にログインしたデータパケットをリモートでエクスポートし、フィルタリングルールを変更して、ネット使用を通じてログ内のドメインコントロールのホスト情報を取得するだけです。
logparserツールを使用して、ログファイルをエクスポートします。
c: \ uses \ admins \ desktop \ logparser.exe -i:evt -o:csv 'select * into c: \ uses \ usedins \ desktop \ log \ 1.csv from \ 10.10.10.10 \ | ntlm |%。
文字列フィールドを通じて、ドメインコントロールに接続されているホストのIPとホスト名が表示されます。
ドメインコントロールホストへのリモートDIR接続
ntlm認証パケット
Proxifier ProxyツールはSocks環境のDNSプロキシを変更できず、ドメイン名とマシン名を正しく解決できないためです。したがって、IP操作のみを使用し、NTLM認証を使用できます。
dir \\ 10.10.10.10 \ c $
原則は正味使用と同じです。LogParserを使用して直接エクスポートしてください。
c: \ uses \ admins \ desktop \ logparser.exe -i:evt -o:csv 'select * into c: \ uses \ usedins \ desktop \ log \ 1.csv from \ 10.10.10.10 \ | ntlm |%。
リモートホストはメンバーホストに接続します
dir \\ 10.10.10.10 \ c $
どちらの方法でも、このログトレースをドメインコントロールホストのログに残すことを指します。これはほとんど役に立たず、メイントレースは接続ホストのログに反映されます。
ログを検索するプロセスも上記に似ているため、ここでは説明しません。
powershell log
PowerShellログは通常、システムログに直接記述されます
ただし、通常の構成では、PowerShellは実行のコマンドログを保存せず、PowerShell Openコマンド(ID:600)とPowerShell Closeコマンド(ID:403)のみを保存します。
したがって、侵入プロセス中に、インタラクティブシェルを取得すると、最初にPowerShellを開き、次にコマンドを実行できます。次に、ログはパワーシェルを開くためにコマンドのみを記録し、PowerShell端子で実行されたコマンドのレコードを保存しません。
ただし、浸潤プロセス中に、Webシェル、つまり半互換コマンドウィンドウを取得した場合、コマンドを1つのステートメントに要約するだけで、コマンドはログに記録されます。
PowerShellスクリプトの使用
パワーシェルスクリプトを使用してコマンドを実行する場合、最初にコマンドを実行する必要があります
PowerShell -ExecutionPolicyバイパス
PowerShellの実行ポリシーをバイパスするために使用されます。 PowerShellは、デフォルトで実行ポリシーを有効にし、スクリプト実行権限を制限します。
実行ポリシーは、スクリプトファイルを実行できるかどうか、および信頼されていないソースからスクリプトを制御するセキュリティメカニズムです。デフォルトでは、PowerShellの実行ポリシーは「制限」に設定されています。つまり、スクリプトファイルの実行は許可されていません。
PowerShellコマンドラインで「PowerShell -ExecutionPolicyバイパス」を使用することにより、実行ポリシーの制限をバイパスし、スクリプトファイルを許可します。これにより、実行ポリシーが一時的に「バイパス」に変更され、すべてのスクリプトを実行できます。
私たちがインポートしようとしているPS1スクリプトがSharphound.ps1である場合
Import-Module ./sharphound.ps1
この時点で、Sharphoundモジュールは現在のセッションにロードされています
現在のセッションでロードされたすべてのモジュールを表示します
ゲットモジュール
Sharphoundモジュールですべてのコマンドのリストを取得します
Get -Command -Module Sharphound
Sharphoundの使用ヘルプをご覧ください
Get-Help Sharphound
get-help invokebloodhound -full
削除ログ
浸透環境にいる場合、すべてのログを削除すると、痕跡を隠さないだけでなく、代わりに痕跡がより明白になります。
したがって、単一のログを削除する方法のみを使用できますが、Windowsはそれを提供しないか、単一のログを削除する操作を許可しないため、他の方法のみを使用できます。
ツールの使用量:https://github.com/3gstudent/eventlogedit-evtx - evolution
単一ログを削除する原則: https://3gstudent.github.io/windows-xml-event-log-(evtx)%E5%8D%95%E6%9D%A1%E6%97%A5%E5%5%97%97% E6%B8%85%E9%99%A4-%E4%B8%80-%E5%88%A0%E9%99%A4%E6%80%9D%E8%B7%AF%E4%B8%8E%E5%AE%9E%E4%Be%8B
https://github.com/qax-a-team/eventcleaner
clear rdpログイントレース
https://Blog.csdn.net/m0_37552052/article/details/82894963
https://Blog.csdn.net/coco56/article/details/102671007#:~:Text=Win10%E7%B3%E7%E7%BB%9F%E6%80%8E%EE49%8888%8%8%A0です99%A4%E8%BF%9C%E7%A8%8B%E6%A1%8C%E9%9D%A2%E8%BF%9E%E6%8E%A5%E8%AEC BC%80%E8%BF%90%E8%A1%8C%EF%BC%BC%BE%E8%BE%93%E5%85%A5%201%20%E5%B9%B6%E7%A1%AE%E5%AEE%9a%E3%802%202、E5%A8%A8%A8%A8% C%B0%E5%9D%80%E6%A0%8F%E4%B8%AD%E8%BE%93%E5%85%A5%E4%BB%A5%E4 %B8%8B%E5%9C%B0%E5%9D%80%E7%84%B6%E5%90%8E%E5%9B%9E%E8%BD%A6%E 5%8D%B3%E5%8F%AF%E8%BF%9B%E8%A1%8C%E7%9C%8B%E5%88%B0%E6%89%80 %E6%9C%89%E7%9a%84%E5%B7%B2%E8%BF%9e%E6%8E%A5%E8%BF%87%E7%9a%9a% 84%E7%94%B5%E8%84%91%E3%80%82%20%e8%A1%e7%Ae%97%E6%9c%5CHKEY_CURRENT_USER 20Client%5CDEFAULT%201%203%20%E5%8F%B3%E9%94%AE%E7%82%B9%E5%87%BB%E9%9C%80%E8%A6%81%E7%AE%A1%E7%90%86%E7%9A%84%E8%AE%B0%E5 %BD%95%E9%A1%B9%EF%BC%8C%E5%8F%AF%E4%BB%A5%E4%BF%AE%E6%94%B9% E6%88%96%E8%80%85%E5%88%A0%E9%99%A4%E6%A4%E9%A1%B9%E3%80%82
https://blog.csdn.net/travelnight/article/details/122854895
イベントID:1149:RDPを使用して、どのソースIPがローカルマシンにログインしたかを記録します。登録:HKEY_CURRENT_USER \ SOFTWARE \ Microsoft \ Terminal Server \ Servers \
現在のホストがログインしているサーバーがどのパスを記録しますか。イベントID:5156ログ:マシンが他のサーバーのポート3389にアクセスしたことを確認できます。 4624 ——アカウントが正常にログインしました
4625 ——アカウントをログインできません
1149 ——ユーザー認証が成功しました
元のリンクアドレスから転載:https://forum.butian.net/share/3657