环境:win2003
Kail使用 ms08_067_netapi payload进行测试,拿到system权限
日志特征:无,未产生相关的日志输出
执行失败时,没有反弹shell
日志特征:
安全日志:有相关的匿名登录记录
MS17_010永恒之蓝
环境:win2003
Kail进入系统
选用的payload
日志特征:
系统日志会有相关的WqWwypUeEPVMcmkF服务日志运行结束的记录。
Kail使用不同的payload的日志特征
日志特征:
系统日志:会有CdTbHrSCJsBPTUL服务的连接记录,是错误类型
共享文件夹的访问
环境:win10,设置管理员权限账户,配密码,低权限没有成功
日志特征:
访问会有登录者的IP、登录机器的电脑名,使用登录的账户记录。成功就是4672特殊登录,4624登录
登录失败会记录密码错误信息
Rdesktop登录
环境:win10,设置管理员权限账户,配密码,低权限没有成功
Kail登录
会强制登出管理员,一般不常使用
日志特征
安全日志4672特殊登录,4624登录4634注销等
系统日志
PsExec登录
环境:win7 win10尝试没有成功,如果知道原因希望能够告知
使用Psexec工具包在Win7系统进行连接
日志特征:
安全日志:4672特殊登录、4624登录、4648登录、会记录%SystemRoot%\PSEXESVC.exe 程序记录可以进行判断
系统日志:会有service control manager的相关记录
登录失败
日志特征
系统日志:wmi服务处于停止状态
Wmiexec登录
环境:win7 win10尝试没有成功,如果知道原因希望能够告知
使用wmiexec脚本win7环境进行登录
日志特征:
安全日志:在相对较短的时间内连续出现 源网络地址:访问者IP地址,账户名:本地用户名 相同的记录 登录类型 3
根据相关特征可以用来做很多的事
- 通过
- 未通过
0 投票者