crescendo Event Log Problem 01

이벤트 로그를 분석하는 문제이다. 천천히 풀어보자!

 

같은 시간대에 4개의 기록이 있다.

그 중 4720에서 사용자 계정을 만들었다는 정보가 담겨져있다.

 

하지만 빨간색 네모 안의 502를 자세히 봐야한다.

 

S-1-5-21-790723840-693588307-315668192-502

S-1(윈도우 시스템) 

 

5-21(시스템이 도메인 컨트롤러 이거나 단독 시스템)

 

790723840-693588307-315668192(시스템 고유 번호)

 

502(사용자 ID)

 

이중 사용자 ID부분에서 500 = 관리자(Administrator) , 501 = 게스트, 1000이상 = 일반 사용자

 

따라서 502 는 일반 사용자 계정이 아니다.

 

 

바로 밑에 4720에서 새로운 계정이 생성된 로그를 확인할 수 있다. 이 계정에서는 1104 아이디를 사용하고 있다. 

 

시간대가 가장 빠른 일반 사용자 계정이다.

 

 

1번 2번답이 나왔다. 그러면 3번문제를 풀러 가자!!

 

그 전에 SID hsitory injection에 대해 간단히 설명하자면 SID를 임의로 변경시켜 권한상승 목적을 가지는 공격이다.

 

그렇다면 SID 가 바뀐 시점을 찾으면 될것이다. (사용자 계정이 변경된 시점)

 

 

 

바로 사용자 계정을 변경한 기록이 뜬다.

 

하지만 SID 기록이 변경되지는 않았다.

 

이런식으로 event log를 보다보면...

 

위 사진과 같이 SID 기록이 변경된 이벤트 로그를 찾을 수 있을것이다.

 

flag :

 

1. JDazz

2. 2016-10-14 07:13:56

3. 2016-10-14 22:00:04 (오후라 22시)