問題

解いてみた

問題文には「10秒以上ログインしたもの」と書かれていてフラグのほうには「5秒以上ログインしたもの」と書かれていて少し混乱しましたが、まぁ一番長いものを回答すればいいんでしょう。

セキュリティログを確認してログオンタイプ10のものを抽出すればよさそうです。

Lab02\Windows\System32\winevt\Logs\Security.evtx

見てみたんですが、ログオンタイプ10のものが1つもありませんでした。
んー。
RDPブルートフォースをしたのはしたけど、開発用サーバに対してRDPでログインしたかどうかはわからないのか。

問題文にある正規ログインの「192.168.15.128」を検索してみても0件。
ん？

問題文にある「2019年10月26日（土）20:16以降」にしぼって4624ログオンに絞ってソースネットワークアドレスをまとめると2つしかないことがわかった。

※問題文に2019年10月26日（土）20:16以降は不正アクセスと考えていい。という記述はあるが、それより前は必ず正規ログインなのかどうかは不明で、正規と不正が入り混じってる可能性もあるということをわすれてはいけない気がする。

もはや2個まで絞り込めたので両方入力してみればいいんですが、一応調べてみます。

結果的にどっちもログアウトのログがなくてどのくらいログインしてたか判断できないのでは？という気分になった。

けど答えのほうは2回ログインしていた。
権限昇格かなとか思ったけどイマイチよくわからず、答えてみたら正解だった。
不完全燃焼。