关于对MS17-010的日志分析

系统：
Server2008

IP：192.168.52.138

Server2003

IP：192.168.52.141

攻击：
Kali2019.4

IP：192.168.52.132

使用EXP：MS17-010

首先我们看一下如果是正常访问IPC$会触发什么。
使用Server2003发起IPC$空链接

这时候我们看一下Server2008上产生的日志

先看一下4624日志

他会使用当前用户的SID进行登录看是否有权限

审核成功后才会进行5140的日志请求
如果我们故意尝试失败会是什么日志结果呢？


得出结论不管用户名或密码哪个输入错误都会爆审核失败日志。
如果我们用用户密码方式登录的话SID是固定的S-1-0-0，但是对端主机会把你哪个用户的SID发送给你用来进行IPC$的文件共享使用。

这时候我们来看如果登录成功的5140日志，会发现里面的SID就是相对于当前用户的一个Token。会附带用户名这些信息进行文件共享。
如果是不加账号密码进行IPC$的会把当前用户作为IPC$的用户。

这时候我们先使用官方EXP进行攻击看看会产生什么日志。

在攻击成功的情况下。首先会产生一个匿名登录的用户，发起文件共享，但是他这里会进行审核成功。到达文件共享这一步，完成攻击。

我们看一下这个文件共享的日志的特征。
在5140日志上会发现是使用的匿名登录的IPC$
SID为S-1-5-7这说明为匿名用户的SID

如果我们直接使用匿名登录来模仿他这个操作
会发现如果人为使用匿名登录会是用的ROOT-TVI862UBEH这个用户进行的登录

这里就可以发现。如果正常进行匿名登录会使用的是本地计算机名。如果是MS17-010扫描的话是使用的anonymous logon，为内置的匿名登录用户。从这点就能很容易的分辨出来。

那如果是禁用了匿名登录呢？
我们将注册表中的
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]=RestrictAnonymous改为2禁止匿名登录。
然鹅。。并禁不了匿名登录。找到方法再继续~