系统:
Server2008
IP:192.168.52.138
Server2003
IP:192.168.52.141
攻击:
Kali2019.4
IP:192.168.52.132
使用EXP:MS17-010
首先我们看一下如果是正常访问IPC$会触发什么。
使用Server2003发起IPC$空链接
这时候我们看一下Server2008上产生的日志
先看一下4624日志
他会使用当前用户的SID进行登录看是否有权限
审核成功后才会进行5140的日志请求
如果我们故意尝试失败会是什么日志结果呢?
得出结论不管用户名或密码哪个输入错误都会爆审核失败日志。
如果我们用用户密码方式登录的话SID是固定的S-1-0-0,但是对端主机会把你哪个用户的SID发送给你用来进行IPC$的文件共享使用。
这时候我们来看如果登录成功的5140日志,会发现里面的SID就是相对于当前用户的一个Token。会附带用户名这些信息进行文件共享。
如果是不加账号密码进行IPC$的会把当前用户作为IPC$的用户。
这时候我们先使用官方EXP进行攻击看看会产生什么日志。
在攻击成功的情况下。首先会产生一个匿名登录的用户,发起文件共享,但是他这里会进行审核成功。到达文件共享这一步,完成攻击。
我们看一下这个文件共享的日志的特征。
在5140日志上会发现是使用的匿名登录的IPC$
SID为S-1-5-7这说明为匿名用户的SID
如果我们直接使用匿名登录来模仿他这个操作
会发现如果人为使用匿名登录会是用的ROOT-TVI862UBEH这个用户进行的登录
这里就可以发现。如果正常进行匿名登录会使用的是本地计算机名。如果是MS17-010扫描的话是使用的anonymous logon,为内置的匿名登录用户。从这点就能很容易的分辨出来。
那如果是禁用了匿名登录呢?
我们将注册表中的
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]=RestrictAnonymous改为2禁止匿名登录。
然鹅。。并禁不了匿名登录。找到方法再继续~