从RDP爆破定位内部攻击者

已于 2023-03-13 15:31:48 修改
阅读量4.7k 收藏 1
点赞数
分类专栏: 【红队攻防秘籍】 【应急响应实战笔记】 文章标签: 网络 安全 java linux 运维
于 2021-03-22 08:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23936389/article/details/115107184
版权

一台没有发布任何服务到公网的服务器,却有大量的账户登录失败记录,咋一看实在有点让人费解。我们需要做的就是,从繁杂的现象中,拔丝抽茧找到有价值的信息,进一步定位攻击来源,从根源上解决攻击问题。

01、攻击现象

一台内网服务器,Windows安全日志存在大量的帐户登录失败记录(事件ID:4625)。

使用LogParser进行安全日志分析,编写查询语句对登录失败记录进行汇总:

如上图,登录类型 10代表的是远程登录,使用administrator尝试登录了48w次,确认服务器正在遭受RDP协议暴力破解攻击,攻击来源为内网的另一台服务器。

接下来,我们需要登录相关服务器进行排查原因。

了解本专栏 订阅专栏 解锁全文 超级会员免费看
Bypass--
关注
专栏目录
订阅专栏
御剑工具包含端口爆破,目录遍历,域名解析等
08-05
例如,未正确配置的服务器可能允许攻击者访问后台管理界面或者数据库文件,目录遍历则可以帮助发现并修复这类问题。 再者,域名解析是互联网通信的基础。御剑工具提供的域名解析功能,不仅能够帮助用户了解目标系统...
CVE-2019-0708:RDP终极EXP爆破
m0_48520508的博客
12-15 1442
0x00 漏洞概述 CVE-2019-0708是微软于2019年05月14日发布的一个严重的RDP远程代码执行漏洞。该漏洞无需身份认证和用户交互,可能形成蠕虫爆发,影响堪比wannycry。 2019年09月07日,@rapid7 在其metasploit-framework仓库公开发布了CVE-2019-0708的利用模块,漏洞利用工具已经开始扩散,已经构成了蠕虫级的攻击威胁。 0x01 影响版本 Windows 7 Windows Server 2008 R2 Windows Server 2008 .
rdp加固策略 防止暴力破解
u014551778的博客
06-18 1396
rdp加固
rdp、ftp协议的密码爆破
过期的秋刀鱼
08-02 766
远程桌面 rdp协议 3389文件传输 FTP协议 20 21攻击方:Kali测试方:Win7两台都要在同一网段。
hydra(九头蛇)暴力破解
weixin_42478365的博客
02-05 2308
暴力破解: hydra(九头蛇) 参数: -R 继续从上一次进度接着破解 -S 大写,采用SSL链接 -s 小写,可通过这个参数指定非默认端口 -l 指定破解的用户,对特定用户破解 -L 指定用户名字典 -p 小写,指定密码破解,少用,一般是采用密码字典 -P 大写,指定密码字典 -e 可选选项,n:空密码试探,s:使用指定用户和密码试探 -C 使用冒号分割格式,例如“登录名:密码”来代替-L/-P参数 -M 指定目标列表文件一行一条 -o 指定结果输出文件 -f 在使用-M参数以后,找到第一对登录名或者密
死磕RDP协议,从截图和爆破说起
m0_46699477的博客
04-28 1321
Goby RDP 截图、暴力破解功能升级(兼容性强、检测能力提升、检测效率高) ​​​
RDP爆破
最新发布
HeLLo_a119的博客
03-18 562
线程默认是50,如果担心影响业务可以修改为5。第五步:选择需要检查的服务。工具:超级弱口令检查工具。第一步:双击打开工具。
RDP漏洞[ CVE-2019-0708 ]无损扫描工具GUI.zip
09-11
该漏洞允许未经身份验证的攻击者通过发送特制的RDP连接请求来执行任意代码,可能导致远程代码执行(RCE)。由于该漏洞可以被蠕虫利用,即在没有用户交互的情况下自我传播,因此它构成了大规模网络攻击的潜在威胁。...
FRP指定访问者:安全地暴露内网服务.doc
10-27
使用STCP模式,由于访问者需要运行frpc并提供密钥,攻击者无法直接访问内网服务。此外,不再直接映射内网端口,降低了被扫描和攻击的风险。 总结来说,FRP的STCP模式提供了一种更安全的方式来暴露内网服务。通过...
网络安全必备-御剑系列工具
04-23
这些漏洞可能被恶意攻击者利用,执行非法操作,如数据盗窃、系统瘫痪等。漏洞扫描工具能提前发现这些风险,以便管理员及时修补,降低安全事件的发生概率。 网络监控则是御剑系列工具的另一个关键组件。它持续监测...
御剑工具集锦
07-17
【御剑工具集锦】是一款深受安全研究者和网络安全从业者喜爱的综合性安全工具包,它主要专注于网络后台扫描和漏洞检测。这个珍藏版集合了御剑的不同版本,包括1.5注入版和1.4终结版,为用户提供了一系列强大且实用的...
远程桌面防暴力破解
大国小匠-深空信息
12-02 2143
探讨Windows远程桌面(RDP)潜在风险⚠️,以及如何通过零信任防火墙防暴力破解等攻击,实现“远程桌面自由"🚀。
计算机网络rdp爆破
Gao068465的博客
12-20 5105
温故: 今天打算和大家聊聊网络中的另一个小知识点:“rdp爆破”。在讲新的知识点之前我还是要和大家再温习一下上一篇文章《Oracle小知识点之temp表空间》,temp临时表空间用来管理数据库排序操作以及用于存储临时表、中间排序结果等临时对象的一个空间。当ORACLE里需要用到SORT(排序)的时候,并且当PGA中sort_area_size大小不够时,将会把数据放入临时表空间里进行排序。像数据库中一些操作: CREATE INDEX、SELECT DISTINCT、ORDER BY、G...
hydra暴力破解win10用户名和密码
热门推荐
木鱼
01-14 1万+
hydra暴力破解win10用户名和密码 准备工作:win10计算机开启3389端口和关闭防火墙 开启3389端口 3389端口:Windows 10远程桌面的服务端口,可以通过这个端口,用"远程桌面"等连接工具来连接到远程的服务器。 在桌面上右击“我的电脑”,选择“属性”,点击左边“远程设置”,选择“允许连接到此计算机”。 此外,为了让扫描更加顺利,我们还需要关闭win10计算机的防火墙。当然我们也可以借助nmap来穿透防火墙进行扫描,这一点以后会演示给大家。 “win+R”并输入命令:“c
记录一次用kali爆破RDP(远程连接协议)
m0_63699746的博客
06-14 3697
首先win7下win+R打开regedit.exe,进入后找到并进入目录HKEY_LOCAL_MACHINE\System\CurrentControiSet\Control\TerminalServer\WinStations\RDP-Tcp,在右侧找到PortNumber,双击编辑端口设置为3389(当然你想要修改其他的端口也行),十进制,并重启。使用kali自带的工具hydra进行爆破,这里字典使用的是kali自带的字典,具体位置看图。发现端口3389,如果没有,可以自行开启并进行测试。
微软关闭了两种攻击途径:Office 宏、RDP 暴力破解
网络研究观
07-26 1万+
微软正试图关闭网络犯罪分子用来攻击用户和网络的几条路线。这家企业 IT 巨头默认阻止下载的 Office 文档中的 Visual Basic for Applications (VBA) 宏的策略在短暂暂停后再次激活,以解决用户在安全防御方面遇到困难的反馈。同样在本周,微软在 Windows 11 中启用了一项默认设置,旨在阻止或减缓明显的远程桌面协议 (RDP) 暴力攻击。...
第六天 01-hydra工具windows远程桌面的密码爆破
qq_56414082的博客
01-02 7654
RDP是Windows的远程桌面协议。所占用的端口默认为3389,这个是可以修改的。
暴力破解之密码字典
lwh_0330的博客
11-15 373
暴力破解多用于密码攻击领域,即使用各种不同的密码组合反复进行验证,直到找出正确的密码这种方式也称为“密码穷举”,用来尝试的所有密码集合称为"密码字典”从理论上来说,任何密码都可以使用这种方法来破解,只不过越复杂的密码需要的破解时间也越长通过文件管理系统找到生成的密码字典。
远程桌面一直被人爆破的解决思路
Qwertyuiop2016的博客
11-17 8269
某天远程自己的电脑发现登不上了,错误信息如下:开始也没在意,后面出现了好几次才反应过来。查看了Windows日志发现一直有人在尝试登录这台电脑,因为3389端口已经映射到了公网IP。
kali进行rdp爆破
09-30
kali可以使用Hydra工具进行rdp爆破。使用以下命令进行爆破: ...大多数情况下,电脑默认是关闭3389号端口的,因为开启该端口容易被攻击者破解,并可能成为肉鸡。如果发现自己的3389号端口是开放的,建议尽快关闭。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bypass--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值