零基礎黑客教程,黑客圈新聞,安全面試經驗javascript
盡在 # 掌控安全EDU #html
一
java
前言jquery
LogonTracer這款工具是基於Python編寫的,並使用Neo4j做爲其數據庫(Neo4j多用於圖形數據庫),是一款用於分析Windows安全事件登陸日誌的可視化工具。git
它會將登陸相關事件中的主機名(或IP地址)和賬戶名稱關聯起來,並將其以圖形化的方式展示出來,使得在日誌取證時直觀清晰。web
二
面試
DOCKER搭建Logon Tracer詳細過程
ajax
Docker安裝過程就略過了。接下來將詳細介紹如何使用Docker搭建LogonTracer:docker
一、開啓docker服務數據庫
service docker start
二、拉取logontracer鏡像
docker pull jpcertcc/docker-logontracer
三、運行鏡像
docker run --detach --publish=7474:7474 --publish=7687:7687 --publish=8080:8080 -e LTHOSTNAME=192.168.59.128 jpcertcc/docker-logontracer
(其中LTHOSTNAME值對應修改成本地IP)
四、鏈接Neo4j數據庫
瀏覽器訪問:http://[本地IP地址]:7474
默認帳號neo4j/neo4j,接着要求修改密碼,輸入新密碼便可。
輸入完密碼鏈接成功後,在以下圖的輸入框中輸入以下命令,點擊右側的按鈕執行。
MATCH(n)
OPTIONAL MATCH (n)-[r]-()
DELETE n,r
作到這一步時,可能會遇到即便正確輸入默認密碼後仍一直提示帳號密碼錯誤,這時能夠修改neo4j.conf配置文件,取消驗證機制,該文件在conf目錄下。
docker exec -it 7882c4e3dab1 /bin/sh (其中7882c4e3dab1爲容器ID號,經過docker ps -a可查看)
vi conf/neo4j.conf
找到文件內容:#dbms.security.auth_enabled=false
將前面的#號去掉,修改成dbms.security.auth_enabled=false
(重啓鏡像才生效,當前能夠暫時不重啓,由於下面還有須要重啓的地方,到時一次重啓便可。)
五、訪問LogonTracer界面
http://[本機IP地址]:8080
此時,經過上述4步以後LogonTracer的Docker環境已經搭建好並能夠正常運行,可是,因爲打開的頁面中有2個JS文件調用的是遠程網址,這2個網址因爲一些緣由在國內沒法正常訪問
因此,在經過瀏覽器訪問首頁後,點擊「Upload Event Log」按鈕是無反應的,那就沒法上傳日誌文件,這就是須要解決的坑。
解決這個坑要對2處JS進行修改:
第一處JS:
https://cdn.rawgit.com/neo4j/neo4j-javascript-driver/1.4.1/lib/browser/neo4j-web.min.js
解決辦法:直接修改系統的hosts文件,手動將域名cdn.rawgit.com解析到151.139.237.11上,該網址就能夠正常訪問了。
執行命令:
vim /etc/hosts
而後在hosts文件中添加一行:
151.139.237.11 cdn.rawgit.com
第二處JS:
https://ajax.googleapis.com/ajax/libs/jquery/3.2.1/jquery.min.js
解決方法:進入Docker鏡像編輯index.html模板文件。
執行命令:
docker exec -it 7882c4e3dab1 /bin/sh (其中7882c4e3dab1爲容器ID)
進入Docker鏡像的終端內執行命令,編輯模板文件:
vi /usr/local/src/LogonTracer/templates/index.html
找到
https://ajax.googleapis.com/ajax/libs/jquery/3.2.1/jquery.min.js
將該網址的改成
https://ajax.loli.net/ajax/libs/jquery/3.2.1/jquery.min.js
保存文件。
六、重啓Docker鏡像
docker restart 7882c4e3dab1 (其中7882c4e3dab1爲容器ID)
七、再次訪問LogonTracer界面
http://[本地IP地址]:8080
點擊左側的「UploadEvent Log」上傳保存在本機的evtx格式或者XML格式的Windows安全日誌文件,點擊「Browse」選擇日誌文件,而後點擊「Upload」,進行上傳。
這時候就完美解決了上傳按鈕點不了的問題了。
這樣就已經成功運行並使用LogonTracer對日誌文件進行分析了。
三
Logon Tracer 功能介紹
一、在LogonTracer界面左側,就是對日誌文件進行分析的功能選項。
All Users:查看全部用戶的登陸信息
SYSTEM Privileges:查看管理員帳號的登陸信息(通常登陸類型3或10)
NTLM Remote Logon:查看NTLM遠程登陸信息(登陸類型3)
RDP Logon:查看RDP遠程桌面登陸信息(登陸類型10)
Network Logon:查看網絡登陸信息(登陸類型3)
Batch Logon:查看批處理登陸信息(登陸類型4)
Service Logon:查看服務登陸信息(登陸類型5)
Ms14-068 Exploit Failure:MS14-068漏洞利用失敗信息
Logon Failure:查看登陸失敗信息
Detect DCsync/DCShadow:查看刪除 DCsync/DCShadow信息
Add/Detect Users:查看添加/刪除用戶信息
Domain Check:域檢查信息
Audit Policy Change:查看審計策略變動信息
二、在界面右側,顯示着用戶名及其重要性等級。
對於此排名,LogonTracer會對事件日誌圖執行網絡分析,並根據每一個節點的「中心性」建立排名。
中心性是指示每一個節點與網絡中心的接近度的索引。
因爲被攻擊賬戶用於對許多主機執行登陸嘗試,所以它們每每具備更高的中心性。所以,經過比較中心性,能夠識別可能受影響的賬戶/主機。
對於每一個節點,連接到主機(綠點)並帶有一行帳戶信息(紅/藍)表示已使用主機登錄。
紅色:SYSTEM權限賬戶
藍色:標準用戶賬戶
綠色:主機/ IP地址
附上登陸類型說明:
登陸類型類型說明Logon type 2 Interactive交互式登陸(Interactive)
就是指用戶在計算機的控制檯上進行的登陸
也就是在本地鍵盤上進行的登陸,是常見的登陸方式。
Logon type 3 Network網絡登陸(Network),最多見的是訪問網絡共享文件夾或打印機。
另外大多數狀況下經過網絡登陸IIS時也被記爲這種類型,但基本驗證方式的IIS登陸是個例外,它將被記爲類型8。
Logon type 4 Batch批處理(Batch),當Windows運行一個計劃任務時,「計劃任務服務」將爲這個任務首先建立一個新的登陸會話以便它能在此計劃任務所配置的用戶帳戶下運行,當這種登陸出現時,Windows在日誌中記爲類型
4,對於其它類型的工做任務系統,依賴於它的設計,也能夠在開始工做時產生類型4的登陸事件
類型4 登陸一般代表某計劃任務啓動,但也多是一個惡意用戶經過計劃任務來猜想用戶密碼
這種嘗試將產生一個類型4的登陸失敗事件,可是這種失敗登陸也多是因爲計劃任務的用戶密碼沒能同步更改形成的,好比用戶密碼更改了,而忘記了在計劃任務中進行更改。
Logon Type 7 Unlock解除屏幕鎖定(Unlock)
當用戶離開屏幕一段時間後,屏保程序會鎖定計算機屏幕。
解開屏幕鎖定須要鍵入用戶名和密碼。
此時產生的日誌類型就是Type 7。
Logon Type 8 NetworkCleartext網絡明文登陸(NetworkCleartext),一般發生在IIS 的 ASP登陸,又如FTP。
Logon Type 9 NewCredentials新憑證(NewCredentials) ,一般發生在RunAS方式(容許用戶用其餘權限運行指定的工具和程序)運行某程序時的登陸驗證。
Logon Type 10 RemoteInteractive 遠程登陸(RemoteInteractive)
經過終端服務、遠程桌面或遠程協助訪問計算機時,Windows將記爲類型10,以便與真正的控制檯登陸相區別
注意XP以前的版本不支持這種登陸類型,好比Windows2000仍然會把終端服務登陸記爲類型2,WindowsXP/2003起有Type 10。
Logon Type 11 CachedInteractive 緩存登陸,在本身網絡以外以域用戶登陸而沒法登陸域控制器時使用緩存登陸。
默認狀況下,Windows緩存了最近10次交互式域登陸成功的憑證HASH,若是之後當你以一個域用戶登陸而又沒有域控制器可用時,Windows將使用這些HASH來驗證你的身份。
三、日誌篩選過濾器
在界面頂部就是日誌篩選過濾器,能夠根據用戶名、主機名和IP地址等對日誌進行篩選。
也能夠過濾顯示時間段及事件ID,事件出現的次數。
四、Create Timeline(建立時間軸)
按時間順序顯示事件日誌,以用戶名及時間軸劃分。
研究代表,監控如下事件對於調查未經受權的登陸是有效的。基於此,LogonTracer還能夠顯示如下事件ID以進行可視化:
附登陸事件ID及說明:
事件ID事件說明4624登陸成功4625登陸失敗4768Kerberos身份驗證(TGT請求)4769Kerberos服務票據(ST請求)4776NTLM身份驗證4672分配特殊權限
因爲並不是全部上述事件ID都使用默認設置進行記錄,所以須要啓用審覈策略以保留此類日誌,建議啓用審覈策略。
五、Diff Graph(差別擴散圖)
選擇要比較額2個不一樣的時間日期,以圖形化對其進行差別分析。
四
常見問題
問題1:使用docker安裝完LogonTracer運行時,界面一直處於加載狀態。
現象以下圖:(360瀏覽器運行)
解決方法:不妨換個瀏覽器試試,如火狐或谷歌瀏覽器。
問題2:在使用docker安裝運行後,訪問LogonTracer界面時上傳的日誌文件成功後,卻沒法對日誌加載分析。
緣由:若是是上傳文件按鈕沒法點擊,緣由是上面安裝過程當中提到的JS文件問題,按照上面安裝過程的解決方法便可。
若是是上傳的EVTX格式的日誌文件在上傳後沒法加載分析的,現象以下圖:
緣由一 是Time Zone(時區)選項值選錯了,中國的UTC爲+8,所以Time Zone下拉選項框中選擇8。
緣由二 是上傳的EVTX日誌文件的問題,如可能當前的日誌文件沒有記錄到任何除了IP爲127.0.0.1的其餘IP地址。(下圖爲Log Parser Lizard的分析截圖)
黑客教程~ 課件 靶場 ~ 限!時!免費!送!
長按識別二維碼,便可限時免費報名課程。
以就業爲導向的專業付費課
直播+錄播+一週七天輔導員輪崗教學
掃描下方二維碼 馬上諮詢助教老師!
加好友請備註暗號:88,還有優惠!
點擊在看~好文你們給一塊兒看!👇
本文做者:yongsec,來自FreeBuf.COM
本文分享自微信公衆號 - 暗網黑客(HackRead)。
若有侵權,請聯繫 support@oschina.cn 刪除。
本文參與「OSC源創計劃」,歡迎正在閱讀的你也加入,一塊兒分享。