bypass个人页面-阿里云开发者社区

利用powershell进行windows日志分析

0x00 前言　　Windows 中提供了 2 个分析事件日志的 PowerShell cmdlet：一个是Get-WinEvent，超级强大，但使用起来比较麻烦；另一个是Get-EventLog，使得起来相当简单，可以实时筛选，接下来，我们利用PowerShell 来自动筛选 Windows 事件日志。 0x01 Get-WinEvent A、XML编写假设有这样一个需求：windows server2008 R2环境，需要统计一下近7天用户登录次数。我们可以直接利用事件查看器里面筛选日志，如下图：通过查看登录日志，发现在真正的登录时间，是这条日志，去其他不同的是，此条日志记录的进程名是winlogon.exe 要实现比较精确的筛选，需要从这里入手，进一步筛选点击“事件属性”里面的“详细信息”中，可以看见一条信息，后面会用到：在“筛选当前日志”中，选择“XML”，勾选“手动编辑查询”，并确认，在手动编辑中加入以下设置 *[EventData[Data[@Name='ProcessName'] and (Data='c:\windows\system32\winlogon.exe')]] and 如图(里面的PrcessName和winlogon.exe就是前面在“事件属性”里面的“详细信息”中看到的)： *[EventData[Data[@Name='ProcessName'] and (Data='c:\windows\system32\winlogon.exe')]] and 点击确认，可以精确的筛选用户登录事件。 windows server 2012的登录筛选在windows server2012中，可能会有一些小变化，但是也没关系，按照之前的解决思路即可。下面可做参考： *[EventData[Data[@Name='ProcessName'] and (Data='c:\windows\system32\winlogon.exe')]] and *[EventData[Data[@Name='LogonType'] and (Data='10')]] and B、Get-WinEvent使用 Get-WinEvent -FilterHashtable @{Logname='system';Id='6006','6005'} 0x02 Get-EventLog Get-EventLog Security -InstanceId 4624,4625 $xml='<QueryList> <Query Id="0" Path="Security"> <Select Path="Security">*[System[(EventID=4624)]]</Select> </Query> </QueryList>' $events = Get-WinEvent -FilterXml $xml $i=0 #Write-Host '登录时间','登录类型','登录账号','登录IP地址' while ($i -lt $events.length) { $time=$events[$i].TimeCreated $type=[regex]::matches($events[$i].Message, '登录类型:(.+)') | %{$_.Groups[1].Value.Trim()} $user=([regex]::matches($events[$i].Message, '帐户名:(.+)') | %{$_.Groups[1].Value.Trim()})[1] $IP=[regex]::matches($events[$i].Message, '源网络地址:(.+)') | %{$_.Groups[1].Value.Trim()} Write-Host $time,$user,$type,$IP $i++ } 脚本运行：查看用户登录事件、登录用户名、登录类型、登录IP地址参考链接： Get-EventLog 使用 https://www.cnblogs.com/brooks-dotnet/archive/2010/08/24/1807615.html https://www.cnblogs.com/fuhj02/archive/2011/01/03/1924339.html Get-EventLog使用 https://docs.microsoft.com/zh-cn/powershell/module/Microsoft.PowerShell.Management/Get-EventLog?view=powershell-5.1 精准的筛选windows用户登录事件 https://www.iyunv.com/thread-525384-1-1.html

bypass个人页面-阿里云开发者社区

个人介绍

擅长的技术

利用powershell进行windows日志分析

我的WAF Bypass实战系列

Burp Post、Get数据包转为上传multipart/form-data格式数据包

【代码审计】任意文件删除漏洞实例

文件完整性hash验证demo（python脚本）

window IIS6/IIS7取消脚本执行权限，禁止运行脚本木马

SQL参数化查询--最有效可预防SQL注入攻击的防御方式

Tomcat配置文件详解

SQL注入测试平台 SQLol -2.SELECT注入测试

SQL注入测试平台 SQLol -4.UPDATE注入测试

SQL注入测试平台 SQLol -5.DELETE注入测试

SQL注入测试平台 SQLol -6.CHALLENGES挑战

利用URLScan工具过滤URL中的特殊字符（仅针对IIS6）-- 解决IIS短文件名漏洞

HTTP.sys漏洞验证及防护

Mysql 下 Insert、Update、Delete、Order By、Group By注入

如何构造一个注入点

基于时间延迟的Python验证脚本

ASP代码审计学习笔记 -2.XSS跨站脚本

ASP代码审计学习笔记 -3.上传漏洞

Sqlite注入测试

SQLite手工注入方法小结

ASP代码审计学习笔记 -4.命令执行漏洞

ASP代码审计学习笔记 -5.文件下载漏洞

Apache 配置文件详解

Apache日志轮替规则