Windows应急响应常识
2022-9-23 18:36:12 Author: 浪飒sec(查看原文) 阅读量:16 收藏

原文来自博客园,点击阅读原文

Windows 应急响应

常见事件ID

  • 1102 清理审计日志

  • 4624 账号登陆成功

  • 4625 账号登陆失败

  • 4672 授予特殊权限

  • 4720 创建用户

  • 4726 删除用户

  • 4728 将成员添加到启用安全的全局组中

  • 4729 将成员从安全组移除

  • 4732 将成员添加到启用安全的本地组中

  • 4733 将成员从启用安全的本地组移除

  • 4756 将成员添加到启用安全的通用组中

  • 4757 将成员从启用安全的通用组中移除

  • 4719 系统审计策略修改


常见登陆类型

  • 2 交互式登陆(用户从控制台登陆)

  • 3 网络 (比如通过net use,访问共享网络、共享文件夹)

  • 4 批处理 (计划任务)

  • 5 服务启动 (服务启动时,win会先创建一个新的登陆会话)

  • 6 不支持

  • 7 解锁 (锁屏解锁)

  • 8 网络明文 (IIS服务器登陆验证)

  • 9 新凭证 (使用带/netonly 参数的runas命令允许程序时)

  • 10 远程交互 (终端服务、远程桌面、远程辅助)

  • 11 缓存域证书登陆


命令

 netstat -ano | more  tasklist | findstr "xxx"  systeminfo  net user  net user admin

Reference

http://www.freebuf.com/vuls/175560.html

历史推荐
1:地级市HVV | 未授权访问合集
2:地级市HVV | 常规的SQL注入分享
3:企业安全与社会工程学的碰撞
4:弱口令yyds之拿到数据库权限
5:记某地级市hvv从旁站拿下服务器权限
6:等保2.0看这一篇就够了
7:利用路由器创建PPTP搭建隧道进内网
8:工具推荐——SharpDecryptPwd
9:工具推荐——几个Burp插件
10:工具推荐——GitHub项目

文章来源: http://mp.weixin.qq.com/s?__biz=MzI1ODM1MjUxMQ==&mid=2247488659&idx=1&sn=bae6cf2517b6cdb6624cfbf11650e5e9&chksm=ea082083dd7fa9956ba9a217aa76990efc1880cad7b428ae8a9f56a6d2ce3ad25d514a98dd94#rd
如有侵权请联系:admin#unsafe.sh