当前位置:网站首页>事件4624是登录成功!?!真的如此吗?

事件4624是登录成功!?!真的如此吗?

2022-07-15 18:09:00 Sumarua

文章目录

1.概述

1.1 案例

先来看两张图:
在这里插入图片描述
在这里插入图片描述看到这两张图的第一印象应该是这是一个成功的登陆,其类型为3,代表网络登陆,4624表示成功登陆,可能大部分人都是如此认为。
那么实际上呢?这里面是存在一定歧义的,今天给大家同步一下这里面的详细细节。

1.2 原理

当用户使用SMB 协议连接时,在提示用户输入密码之前,其会使用anonymous用户(也就是匿名用户)进行 SMB 网络连接,一旦网络将被记录为成功连接。其有以下几个条件会导致产生这条日志:

登陆用户为anonymous
登录进程为NTLMssp
使用协议为NTLM V1
登陆协议为SMB

2. 测试

2.1 SMB连接失败情况

2.1.1 找不到网络名/拒绝访问

直接使用net use发起一个针对不存在的aaa$的连接,会报错找不到网络名,使用net use也可以看到其连接并没有成功:
在这里插入图片描述
但是我们来看看日志,可以看到其产生了一条4624类型3的成功登陆的日志,这个仅仅表示使用anonymouse用户成功登录网络
在这里插入图片描述使用正确的目录路径,但不输入用户会报错拒绝访问,该状态同样会导致一个匿名用户的登录成功 类型3

在这里插入图片描述

2.1.2 用户名或密码不正确

使用不正确的账密登录时,会报错用户名或密码不正确。
在这里插入图片描述
这种情况在日志中就不会出现匿名登录登录成功日志,而是直接显示4625日志,当然也显示了登录的用户名。

在这里插入图片描述

2.2 SMB登录成功

如果使用正确的账密进行登录的话在日志中的表现是如何呢?
在这里插入图片描述除类型3的登录成功以外,还会有4776(验证凭据)和4672(登录权限分配)的事件

在这里插入图片描述

3. 总结

当攻击者使用SMB进行连接时,若访问路径不存在或账号不存在时将产生anonymous用户(匿名用户)的登录类型3的4624日志,并非代表机器失已经被登录。

原网站

版权声明
本文为[Sumarua]所创,转载请带上原文链接,感谢
https://sumarua.blog.csdn.net/article/details/125682172

边栏推荐

猜你喜欢

随机推荐