起因
由于某次红蓝对抗,IT人员在终端安装了mysql测试环境,最终被利用提权,激活了guest账号,做进一步的横向渗透。
研究
TargetUserName 被激活的用户名
TargetSid 被激活的用户SID,该ID是唯一值
MemberSid用户SID
唯一值TargetUserName组名称
Beat下载地址
https://www.elastic.co/cn/beats/
output.file:
path: "D:\"
filename: 1.log
结果
本文始发于微信公众号(NOVASEC):蓝队视角:监控guest账号安全
- 左青龙
- 微信扫一扫
- 右白虎
- 微信扫一扫
评论