注样本请勿导入注册表样本请勿导入注册表样本请勿导入注册表使用系统自带事件查看器1、按winR输入→eventvwr.msc2、右击Windows日志→打开保存的日志任务1-未完成任务类型静态Flag题目在攻击真正发生之前防火墙记录到了针对 SQL Server 的暴力破解行为。请找出发起暴力破解大量登录失败的 IP 地址。按时间顺序用_连接FLAG格式为flag{ip_ip})根据题目关键字在以下几个日志文件中查找线索防火墙 Microsoft-Windows-Windows Firewall With Advanced Security%4ConnectionSecurity.evtx---没内容 Microsoft-Windows-Windows Firewall With Advanced Security%4Firewall.evtx---没找到 Windows安全审计事件的核心日志文件 Security.evtx---没找到 应用日志文件 Application.evtx关注18456登录失败这里面我只找到192.168.146.161和192.168.146.135两个IP地址有解出来的大佬指点指点哇任务2任务类型静态Flag题目请分析 MSSQL 日志文件找到攻击者 IP 192.168.146.135 在结束暴力破解后首次成功使用“SQL Server 身份验证”建立连接id18454的时间。FLAG格式为flag{2025/01/01 11:00:01}答案flag{2025/12/17 11:17:26}任务3任务类型静态Flag题目经分析攻击者登陆数据库后进行了关键配置更改以启用命令执行功能。 请还原攻击者在该时间点内的完整配置修改链按日志记录顺序。FLAG格式为flag{配置名1_配置名2}重点看第一次登陆后的操作发现ID为15457的信息应该就是攻击者配置过程的提示信息答案flag{show advanced options_xp_cmdshell}任务4任务类型静态Flag题目攻击者在执行复杂的命令前先写入了一个测试文件以验证写入权限。请提供该测试文件的完整绝对路径。FLAG格式为flag{C:\ABC\def.txt}从应用日志中看不到有用的信息但是在Security.csv中搜.txt发现了一条命令是攻击者在获得 SYSTEM 权限后执行的一次文件写入操作S-1-5-18|WIN-SSE3B4TBSHV$|WORKGROUP|0x3e7|0xcf0|C:\Windows\SysWOW64\cmd.exe|%%1936|0x1588|C:\Windows\system32\cmd.exe /c echo flag{sol C:\Windows\Temp\test.txt可以看到时间正好是获得system权限之后一点答案flag{C:\Windows\Temp\test.txt}任务5任务类型静态Flag题目攻击者觉得通过数据库执行命令太麻烦于是创建ID4688了一个系统后门用户123。该后门用户的明文密码是什么检索出来太多了将该日志文件转换成csv文件打开检索方法一、可以直接点保存转换为csv也可以使用下列代码转换方法二、也可以使用Log Parser 2.2工具转换单个文件推荐# 将整个安全日志输出到 security.csv 文件中LogParser -i:EVT -o:CSV SELECT * INTO security.csv FROM Security方法三提供一个批量转换的代码deepseek_powershell_20260422_21bb20.ps1$sourceFolder D:\渗透工具合集\应急响应\日志排查\logs $outputFolder D:\渗透工具合集\应急响应\日志排查 Get-ChildItem -Path $sourceFolder -Filter *.evtx -Recurse | ForEach-Object { $csvPath Join-Path $outputFolder ($_.BaseName .csv) try { Write-Host 正在转换: $($_.Name) Get-WinEvent -Path $_.FullName -ErrorAction Stop | Export-Csv -Path $csvPath -NoTypeInformation Write-Host ✓ 转换完成: $($_.BaseName).csv -ForegroundColor Green } catch { Write-Host ✗ 转换失败: $($_.Name) - 错误信息: $($_.Exception.Message) -ForegroundColor Red } } Write-Host 所有文件转换完毕。 -ForegroundColor Cyan答案flag{33arsierting}}任务6任务类型静态Flag题目在创建完后门用户后攻击者登录了服务器。请找出用户 123 首次 RDP登录成功ID4624的精确时间Logon Type为3的。flag格式为flag{2025/01/01 15:00:00}答案flag{2025/12/17 15:06:03}任务7任务类型静态Flag题目攻击者为了确保服务器重启后仍能控制机器在系统中留下了三个持久化后门。 请找到这三处隐藏的字符串并按以下顺序拼接flag{flag1flag2flag3}flag{krjl424wq3453dalbzlmqu458xktq}