Open h7hac9 opened 5 years ago
请问一下,我看到这个检测是用的5145和5142这两个EventID,我这边在本地复测远程代码执行漏洞,并没有这两个Event事件产生,想问一下这个项目中是参考的哪个漏洞做的检测?可否可以给我提供一个链接?我这边的参考文档是https://dirkjanm.io/worst-of-both-worlds-ntlm-relaying-and-kerberos-delegation/
感谢🙏
远程代码执行一般是在已知目标凭据的情况下,获得了目标计算机的shell,这里检测的是针对目标为域控的情况。
目前常见的远程命令执行工具如:PsExec、wmi_exec、smb_exec等等,impacket 工具集可以找到 smb和wmi的脚本,PsExec是微软官方的远程管理工具。其它还有很多可自行收集。
你所参考的文章内容不是漏洞,只是一种攻击手法或者叫提权方式,最后的命令执行依旧需要依赖上面的工具。
之所以会依赖5145和5142,是因为现在大多数命令执行依赖445端口文件共享,会触发这两个事件。在本地复测的时候请确保开启了所有审核选项。
Qianlitp
commented
5 years ago Qianlitp
commented
5 years ago
请问一下,我看到这个检测是用的5145和5142这两个EventID,我这边在本地复测远程代码执行漏洞,并没有这两个Event事件产生,想问一下这个项目中是参考的哪个漏洞做的检测?可否可以给我提供一个链接?我这边的参考文档是https://dirkjanm.io/worst-of-both-worlds-ntlm-relaying-and-kerberos-delegation/
感谢🙏