零基础黑客教程,黑客圈新闻,安全面试经验javascript
尽在 # 掌控安全EDU #html
一
java
前言jquery
LogonTracer这款工具是基于Python编写的,并使用Neo4j做为其数据库(Neo4j多用于图形数据库),是一款用于分析Windows安全事件登陆日志的可视化工具。git
它会将登陆相关事件中的主机名(或IP地址)和账户名称关联起来,并将其以图形化的方式展示出来,使得在日志取证时直观清晰。web
二
面试
DOCKER搭建Logon Tracer详细过程
ajax
Docker安装过程就略过了。接下来将详细介绍如何使用Docker搭建LogonTracer:docker
一、开启docker服务数据库
service docker start
二、拉取logontracer镜像
docker pull jpcertcc/docker-logontracer
三、运行镜像
docker run --detach --publish=7474:7474 --publish=7687:7687 --publish=8080:8080 -e LTHOSTNAME=192.168.59.128 jpcertcc/docker-logontracer
(其中LTHOSTNAME值对应修改成本地IP)
四、链接Neo4j数据库
浏览器访问:http://[本地IP地址]:7474
默认帐号neo4j/neo4j,接着要求修改密码,输入新密码便可。
输入完密码链接成功后,在以下图的输入框中输入以下命令,点击右侧的按钮执行。
MATCH(n)
OPTIONAL MATCH (n)-[r]-()
DELETE n,r
作到这一步时,可能会遇到即便正确输入默认密码后仍一直提示帐号密码错误,这时能够修改neo4j.conf配置文件,取消验证机制,该文件在conf目录下。
docker exec -it 7882c4e3dab1 /bin/sh (其中7882c4e3dab1为容器ID号,经过docker ps -a可查看)
vi conf/neo4j.conf
找到文件内容:#dbms.security.auth_enabled=false
将前面的#号去掉,修改成dbms.security.auth_enabled=false
(重启镜像才生效,当前能够暂时不重启,由于下面还有须要重启的地方,到时一次重启便可。)
五、访问LogonTracer界面
http://[本机IP地址]:8080
此时,经过上述4步以后LogonTracer的Docker环境已经搭建好并能够正常运行,可是,因为打开的页面中有2个JS文件调用的是远程网址,这2个网址因为一些缘由在国内没法正常访问
因此,在经过浏览器访问首页后,点击“Upload Event Log”按钮是无反应的,那就没法上传日志文件,这就是须要解决的坑。
解决这个坑要对2处JS进行修改:
第一处JS:
https://cdn.rawgit.com/neo4j/neo4j-javascript-driver/1.4.1/lib/browser/neo4j-web.min.js
解决办法:直接修改系统的hosts文件,手动将域名cdn.rawgit.com解析到151.139.237.11上,该网址就能够正常访问了。
执行命令:
vim /etc/hosts
而后在hosts文件中添加一行:
151.139.237.11 cdn.rawgit.com
第二处JS:
https://ajax.googleapis.com/ajax/libs/jquery/3.2.1/jquery.min.js
解决方法:进入Docker镜像编辑index.html模板文件。
执行命令:
docker exec -it 7882c4e3dab1 /bin/sh (其中7882c4e3dab1为容器ID)
进入Docker镜像的终端内执行命令,编辑模板文件:
vi /usr/local/src/LogonTracer/templates/index.html
找到
https://ajax.googleapis.com/ajax/libs/jquery/3.2.1/jquery.min.js
将该网址的改成
https://ajax.loli.net/ajax/libs/jquery/3.2.1/jquery.min.js
保存文件。
六、重启Docker镜像
docker restart 7882c4e3dab1 (其中7882c4e3dab1为容器ID)
七、再次访问LogonTracer界面
http://[本地IP地址]:8080
点击左侧的“UploadEvent Log”上传保存在本机的evtx格式或者XML格式的Windows安全日志文件,点击“Browse”选择日志文件,而后点击“Upload”,进行上传。
这时候就完美解决了上传按钮点不了的问题了。
这样就已经成功运行并使用LogonTracer对日志文件进行分析了。
三
Logon Tracer 功能介绍
一、在LogonTracer界面左侧,就是对日志文件进行分析的功能选项。
All Users:查看全部用户的登陆信息
SYSTEM Privileges:查看管理员帐号的登陆信息(通常登陆类型3或10)
NTLM Remote Logon:查看NTLM远程登陆信息(登陆类型3)
RDP Logon:查看RDP远程桌面登陆信息(登陆类型10)
Network Logon:查看网络登陆信息(登陆类型3)
Batch Logon:查看批处理登陆信息(登陆类型4)
Service Logon:查看服务登陆信息(登陆类型5)
Ms14-068 Exploit Failure:MS14-068漏洞利用失败信息
Logon Failure:查看登陆失败信息
Detect DCsync/DCShadow:查看删除 DCsync/DCShadow信息
Add/Detect Users:查看添加/删除用户信息
Domain Check:域检查信息
Audit Policy Change:查看审计策略变动信息
二、在界面右侧,显示着用户名及其重要性等级。
对于此排名,LogonTracer会对事件日志图执行网络分析,并根据每一个节点的“中心性”建立排名。
中心性是指示每一个节点与网络中心的接近度的索引。
因为被攻击账户用于对许多主机执行登陆尝试,所以它们每每具备更高的中心性。所以,经过比较中心性,能够识别可能受影响的账户/主机。
对于每一个节点,连接到主机(绿点)并带有一行帐户信息(红/蓝)表示已使用主机登录。
红色:SYSTEM权限账户
蓝色:标准用户账户
绿色:主机/ IP地址
附上登陆类型说明:
登陆类型类型说明Logon type 2 Interactive交互式登陆(Interactive)
就是指用户在计算机的控制台上进行的登陆
也就是在本地键盘上进行的登陆,是常见的登陆方式。
Logon type 3 Network网络登陆(Network),最多见的是访问网络共享文件夹或打印机。
另外大多数状况下经过网络登陆IIS时也被记为这种类型,但基本验证方式的IIS登陆是个例外,它将被记为类型8。
Logon type 4 Batch批处理(Batch),当Windows运行一个计划任务时,“计划任务服务”将为这个任务首先建立一个新的登陆会话以便它能在此计划任务所配置的用户帐户下运行,当这种登陆出现时,Windows在日志中记为类型
4,对于其它类型的工做任务系统,依赖于它的设计,也能够在开始工做时产生类型4的登陆事件
类型4 登陆一般代表某计划任务启动,但也多是一个恶意用户经过计划任务来猜想用户密码
这种尝试将产生一个类型4的登陆失败事件,可是这种失败登陆也多是因为计划任务的用户密码没能同步更改形成的,好比用户密码更改了,而忘记了在计划任务中进行更改。
Logon Type 7 Unlock解除屏幕锁定(Unlock)
当用户离开屏幕一段时间后,屏保程序会锁定计算机屏幕。
解开屏幕锁定须要键入用户名和密码。
此时产生的日志类型就是Type 7。
Logon Type 8 NetworkCleartext网络明文登陆(NetworkCleartext),一般发生在IIS 的 ASP登陆,又如FTP。
Logon Type 9 NewCredentials新凭证(NewCredentials) ,一般发生在RunAS方式(容许用户用其余权限运行指定的工具和程序)运行某程序时的登陆验证。
Logon Type 10 RemoteInteractive 远程登陆(RemoteInteractive)
经过终端服务、远程桌面或远程协助访问计算机时,Windows将记为类型10,以便与真正的控制台登陆相区别
注意XP以前的版本不支持这种登陆类型,好比Windows2000仍然会把终端服务登陆记为类型2,WindowsXP/2003起有Type 10。
Logon Type 11 CachedInteractive 缓存登陆,在本身网络以外以域用户登陆而没法登陆域控制器时使用缓存登陆。
默认状况下,Windows缓存了最近10次交互式域登陆成功的凭证HASH,若是之后当你以一个域用户登陆而又没有域控制器可用时,Windows将使用这些HASH来验证你的身份。
三、日志筛选过滤器
在界面顶部就是日志筛选过滤器,能够根据用户名、主机名和IP地址等对日志进行筛选。
也能够过滤显示时间段及事件ID,事件出现的次数。
四、Create Timeline(建立时间轴)
按时间顺序显示事件日志,以用户名及时间轴划分。
研究代表,监控如下事件对于调查未经受权的登陆是有效的。基于此,LogonTracer还能够显示如下事件ID以进行可视化:
附登陆事件ID及说明:
事件ID事件说明4624登陆成功4625登陆失败4768Kerberos身份验证(TGT请求)4769Kerberos服务票据(ST请求)4776NTLM身份验证4672分配特殊权限
因为并不是全部上述事件ID都使用默认设置进行记录,所以须要启用审核策略以保留此类日志,建议启用审核策略。
五、Diff Graph(差别扩散图)
选择要比较额2个不一样的时间日期,以图形化对其进行差别分析。
四
常见问题
问题1:使用docker安装完LogonTracer运行时,界面一直处于加载状态。
现象以下图:(360浏览器运行)
解决方法:不妨换个浏览器试试,如火狐或谷歌浏览器。
问题2:在使用docker安装运行后,访问LogonTracer界面时上传的日志文件成功后,却没法对日志加载分析。
缘由:若是是上传文件按钮没法点击,缘由是上面安装过程当中提到的JS文件问题,按照上面安装过程的解决方法便可。
若是是上传的EVTX格式的日志文件在上传后没法加载分析的,现象以下图:
缘由一 是Time Zone(时区)选项值选错了,中国的UTC为+8,所以Time Zone下拉选项框中选择8。
缘由二 是上传的EVTX日志文件的问题,如可能当前的日志文件没有记录到任何除了IP为127.0.0.1的其余IP地址。(下图为Log Parser Lizard的分析截图)
黑客教程~ 课件 靶场 ~ 限!时!免费!送!
长按识别二维码,便可限时免费报名课程。
以就业为导向的专业付费课
直播+录播+一周七天辅导员轮岗教学
扫描下方二维码 马上咨询助教老师!
加好友请备注暗号:88,还有优惠!
点击在看~好文你们给一块儿看!👇
本文做者:yongsec,来自FreeBuf.COM
本文分享自微信公众号 - 暗网黑客(HackRead)。
若有侵权,请联系 support@oschina.cn 删除。
本文参与“OSC源创计划”,欢迎正在阅读的你也加入,一块儿分享。