LogonTracer 安裝包

--- tags: IR,Windows,LogonTracer --- # LogonTracer 安裝包 ## (1) 安裝 VirualBox - https://www.virtualbox.org/wiki/Downloads - https://download.virtualbox.org/virtualbox/7.0.6/VirtualBox-7.0.6-155176-Win.exe ## (2) 安裝 Kali - https://www.kali.org/get-kali/#kali-virtual-machines ### 建議安裝 VirualBox 版本 - https://cdimage.kali.org/kali-2022.4/kali-linux-2022.4-virtualbox-amd64.7z - ## (3) 解壓縮並直接執行.vbox 直接執行或是按加入匯入 - kali-linux-2022.4-virtualbox-amd64.7z ![](https://i.imgur.com/1GdfKLC.png) 設定路徑及效能(使用預設即可) ![](https://i.imgur.com/9qQqqVJ.png) ## (4) 啟用 Kali ![](https://i.imgur.com/bWVIGNx.png) ## (5) 以預設帳號：kali/kali ，新增使用者並登入 ![](https://i.imgur.com/p3XtIfo.png) ### (A) 切換權限：sudo -i ### (B) 新增帳號：useradd -m chloe ### (C) 新增密碼：passwd chloe ### (D) 新增群組：usermod -a -G sudo chloe ### (E) 執行路徑：chsh -s /usr/bin/zsh chloe 預設是 /bin/sh ### (F) 系統更新：sudo apt-get update && sudo apt-get upgrade ## (6) 切換角色 root ：sudo -i ![](https://i.imgur.com/1tbzaXx.png) ## (7) 安裝 Docker：apt-get install docker.io ## (8) 依手冊進行安裝：https://github.com/JPCERTCC/LogonTracer/wiki/jump-start-with-docker ### (8-1) 下載映像檔：docker pull jpcertcc/docker-logontracer Docker 環境下載並安裝一個名為 "docker-logontracer" 的映像檔。 ![](https://i.imgur.com/QmlOErX.png) ### (8-2) 確認下載成功：docker images ![](https://i.imgur.com/ak9ymnC.png) ### (8-3) 確認 docker ps -a -q docker ps -a (所有容器) ## (9) 執行 LogenTracer docker run --detach --publish=7474:7474 --publish=7687:7687 --publish=8080:8080 -e LTHOSTNAME=127.0.0.1 jpcertcc/docker-logontracer ### 冒號前是本機絕對路徑，冒號後是容器中的路徑 $ docker run --name mytomcat -v /home/www/webapps:/usr/local/tomcat/webapps -d tomcat --detach 參數表示在後台運行容器，讓控制台可以繼續使用。 --publish=7474:7474 --publish=7687:7687 --publish=8080:8080 參數表示將容器的三個端口號分別映射到主機的三個端口號。具體來說，容器中的7474端口會映射到主機的7474端口，7687端口會映射到主機的7687端口，8080端口會映射到主機的8080端口。 -e LTHOSTNAME=127.0.0.1 參數表示在容器中設置一個名為 LTHOSTNAME 的環境變數，並將其值設置為 127.0.0.1。 jpcertcc/docker-logontracer 是容器的映像名稱，表示運行這個容器所需的映像文件來自於 "jpcertcc/docker-logontracer"。 ## 改： docker run --detach --publish=7474:7474 --publish=7687:7687 --publish=8080:8080 --name logontracer -e LTHOSTNAME=127.0.0.1 jpcertcc/docker-logontracer ### (8-4) 停止 docker top [ID] ![](https://i.imgur.com/Uitvp0H.png) docker stop $(docker ps -q) ![](https://i.imgur.com/ENrSjb8.png) ### (8-5) 刪除 docker delete ## (9) 啟用 LogenTracer (neo4j:password) http://127.0.0.1:8080/login ![](https://i.imgur.com/zpMQgAT.png) ## FIN ！匯入並重整！ ![](https://i.imgur.com/UJU35W0.png) --- 以下參考執行 ## (10) LogonTracer 刪除日誌 python3 logontracer.py -e Security.evtx -z [TIMEZONE] -u [NEO4J_USER] -p [PASSWORD] -s [NEO4J_SERVER] #### (a) 確認狀態：docker ps ![](https://i.imgur.com/HieJTqh.png) #### (b) 確認路徑：docker exec -ti dcc62ce0440a /bin/bash ![](https://i.imgur.com/D63WYfy.png) ![](https://i.imgur.com/bkriD6W.png) /var/lib/neo4j ## 其他掛載方式 https://ithelp.ithome.com.tw/articles/10199339 ![](https://i.imgur.com/t1Ms3WX.png) docker exec -ti logontracer /bin/bash ## 安裝 vi sudo apt-get update sudo apt-get install vim apt-get update apt-get install sudo find / -name *security* ![](https://i.imgur.com/PHSyUQV.png) docker stop $(docker ps -q) systemctl status docker sudo docker restart $(sudo docker ps -q) #### 重啟 docker restart logontracer ![](https://i.imgur.com/XMZ6dDN.png) /usr/local/src/LogonTracer/upload/