系統:
Server2008
IP:192.168.52.138
Server2003
IP:192.168.52.141
攻擊:
Kali2019.4
IP:192.168.52.132
使用EXP:MS17-010
首先我們看一下如果是正常訪問IPC$會觸發什麼。
使用Server2003發起IPC$空鏈接
這時候我們看一下Server2008上產生的日誌
先看一下4624日誌
他會使用當前用戶的SID進行登錄看是否有權限
審覈成功後纔會進行5140的日誌請求
如果我們故意嘗試失敗會是什麼日誌結果呢?
得出結論不管用戶名或密碼哪個輸入錯誤都會爆審覈失敗日誌。
如果我們用用戶密碼方式登錄的話SID是固定的S-1-0-0,但是對端主機會把你哪個用戶的SID發送給你用來進行IPC$的文件共享使用。
這時候我們來看如果登錄成功的5140日誌,會發現裏面的SID就是相對於當前用戶的一個Token。會附帶用戶名這些信息進行文件共享。
如果是不加賬號密碼進行IPC$的會把當前用戶作爲IPC$的用戶。
這時候我們先使用官方EXP進行攻擊看看會產生什麼日誌。
在攻擊成功的情況下。首先會產生一個匿名登錄的用戶,發起文件共享,但是他這裏會進行審覈成功。到達文件共享這一步,完成攻擊。
我們看一下這個文件共享的日誌的特徵。
在5140日誌上會發現是使用的匿名登錄的IPC$
SID爲S-1-5-7這說明爲匿名用戶的SID
如果我們直接使用匿名登錄來模仿他這個操作
會發現如果人爲使用匿名登錄會是用的ROOT-TVI862UBEH這個用戶進行的登錄
這裏就可以發現。如果正常進行匿名登錄會使用的是本地計算機名。如果是MS17-010掃描的話是使用的anonymous logon,爲內置的匿名登錄用戶。從這點就能很容易的分辨出來。
那如果是禁用了匿名登錄呢?
我們將註冊表中的
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]=RestrictAnonymous改爲2禁止匿名登錄。
然鵝。。並禁不了匿名登錄。找到方法再繼續~
