目标域控制的远程代码执行

[h7hac9]

请问一下，我看到这个检测是用的5145和5142这两个EventID，我这边在本地复测远程代码执行漏洞，并没有这两个Event事件产生，想问一下这个项目中是参考的哪个漏洞做的检测？可否可以给我提供一个链接？我这边的参考文档是https://dirkjanm.io/worst-of-both-worlds-ntlm-relaying-and-kerberos-delegation/

感谢🙏

[Qianlitp]

远程代码执行一般是在已知目标凭据的情况下，获得了目标计算机的shell，这里检测的是针对目标为域控的情况。

目前常见的远程命令执行工具如：PsExec、wmi_exec、smb_exec等等，impacket 工具集可以找到 smb和wmi的脚本，PsExec是微软官方的远程管理工具。其它还有很多可自行收集。

你所参考的文章内容不是漏洞，只是一种攻击手法或者叫提权方式，最后的命令执行依旧需要依赖上面的工具。

之所以会依赖5145和5142，是因为现在大多数命令执行依赖445端口文件共享，会触发这两个事件。在本地复测的时候请确保开启了所有审核选项。