浅谈入侵溯源过程中的一些常见姿势

如下图就是一个典型的SMB的认证失败情况：

Windows系统的补丁相对重要一些，一些关键的补丁没有打很容易遭受到攻击成功的事件。重点就关注一些常见的比如ms17-010 ms08-067 ms16-032等安全补丁都是内网渗透常用的攻击包。可以通过sysintemfo可以查看到当前系统当中已经安装的补丁。

此外windows下面还包括很多域控的安全日志，因为内容太多就不再展开叙述，溯源主要还是想还原攻击路径，通过windows日志搞明白访问关系攻击者的攻击链条，给用户一个交代就好。

四、其他常用系统

数据库系统也是攻击者入口点的一些重灾区，常见的比如msssql server由于数据往往在window环境下安装后具有较高的权限，一些用户经常安装完成之后也不会怎么去加固数据库，基于库站分离的原则很多mssql公网直接就可以访问访问控制策略比较弱，弱口令的问题尤为突出。

比如下对于mssql的sa用户暴力破解日志，里面也记录着客户端的IP地址如果没有配置相关的锁定策略在密码不够严格的情况下容易被攻陷。

攻击者爆破成功之后启动xp_shell往往就可以以高权限执行系统命令，拿到了一个windows的shell岂不是为所欲为。

（编辑：西安站长网）

【声明】本站内容均来自网络，其相关言论仅代表作者个人观点，不代表本站立场。若无意侵犯到您的权利，请及时与联系站长删除相关内容!