登录的日志记录总结【通过】

环境：win2003

Kail使用 ms08_067_netapi payload进行测试，拿到system权限

image910×337 77.9 KB

日志特征：无，未产生相关的日志输出

执行失败时，没有反弹shell

image704×171 49.7 KB

日志特征：

安全日志：有相关的匿名登录记录

image891×81 3.22 KB

MS17_010永恒之蓝

环境：win2003

Kail进入系统

选用的payload

image878×116 23.1 KB

日志特征：

系统日志会有相关的WqWwypUeEPVMcmkF服务日志运行结束的记录。

Kail使用不同的payload的日志特征

日志特征：

系统日志：会有CdTbHrSCJsBPTUL服务的连接记录，是错误类型

共享文件夹的访问

环境：win10，设置管理员权限账户，配密码，低权限没有成功

日志特征：

访问会有登录者的IP、登录机器的电脑名，使用登录的账户记录。成功就是4672特殊登录，4624登录

登录失败会记录密码错误信息

Rdesktop登录

环境：win10，设置管理员权限账户，配密码，低权限没有成功

Kail登录

image789×450 76.6 KB

会强制登出管理员，一般不常使用

日志特征

安全日志4672特殊登录，4624登录4634注销等

系统日志

image1198×166 12.1 KB

PsExec登录

环境：win7 win10尝试没有成功，如果知道原因希望能够告知

使用Psexec工具包在Win7系统进行连接

image932×55 1.45 KB

日志特征：

安全日志：4672特殊登录、4624登录、4648登录、会记录%SystemRoot%\PSEXESVC.exe 程序记录可以进行判断

系统日志：会有service control manager的相关记录

登录失败

日志特征

系统日志：wmi服务处于停止状态

Wmiexec登录

环境：win7 win10尝试没有成功，如果知道原因希望能够告知

使用wmiexec脚本win7环境进行登录

image1053×384 13.4 KB

日志特征：

安全日志：在相对较短的时间内连续出现 源网络地址：访问者IP地址，账户名：本地用户名 相同的记录 登录类型 3

根据相关特征可以用来做很多的事