2026年4月24日 星期五

[研究]遠端桌面連線發現帳號被鎖

[研究]遠端桌面連線發現帳號被鎖

2025-04-23








環境:Visual Studio 2022 + ASP.NET + WebForm + Web Application + C# + SQL Server 2019 + SQL Server Management Studio (SSMS) 20.2

********************************************************************************

查事件檢視器


Windows PowerShell
著作權(C) Microsoft Corporation。保留擁有權利。

安裝最新的 PowerShell 以取得新功能和改進功能!https://aka.ms/PSWindows

PS C:\WINDOWS\system32> cd\
PS C:\> Get-EventLog -LogName Security -InstanceId 4625 -Newest 50 |
>> Where-Object { $_.ReplacementStrings[5] -eq "administrator" } |
>> Select-Object TimeGenerated, ReplacementStrings

TimeGenerated           ReplacementStrings
-------------           ------------------
2026/4/23 上午 06:23:09 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 06:22:08 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 06:21:48 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 06:21:11 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 06:21:07 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 06:20:06 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 06:19:05 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 06:18:02 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 06:07:53 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 06:06:52 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 06:05:58 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 06:05:53 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 06:04:57 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 06:04:52 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 06:03:58 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 06:02:57 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 06:01:57 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 06:00:55 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:50:02 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:48:03 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:47:03 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:46:01 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:45:01 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:44:04 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:44:02 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:43:22 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:42:20 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:42:13 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:31:13 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:30:22 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:29:19 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:28:18 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:27:18 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:27:09 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:26:16 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:25:13 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:24:31 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:24:19 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:14:13 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:13:13 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:12:12 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:11:13 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:10:13 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:09:12 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:08:15 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:07:37 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:07:23 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 05:06:22 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 04:55:24 {S-1-0-0, -, -, 0x0...}
2026/4/23 上午 04:54:24 {S-1-0-0, -, -, 0x0...}


PS C:\>

查事件檢視器


Get-EventLog -LogName Security -InstanceId 4625 -Newest 50 |
Where-Object { $_.ReplacementStrings[5] -eq "administrator" } |
ForEach-Object { 
    $_.TimeGenerated
    $_.ReplacementStrings | ForEach-Object { Write-Output $_ }
    ""
}

結果


2026年4月23日 上午 06:25:10
S-1-0-0
-
-
0x0
S-1-0-0
ADMINISTRATOR
-
0xc000006d
%%2313
0xc000006a
3
NtLmSsp
NTLM
-
-
-
0
0x0
-
103.4.92.103
0

索引說明
0S-1-0-0登入帳號的 SID(Security Identifier),這裡是預設或未知 SID)
1-登入帳號名稱(域帳號或電腦名稱,空表示本地)
2-域(空)
30x0登入 ID(Logon ID)
4S-1-0-0認證 SID(通常和帳號 SID 一樣)
5ADMINISTRATOR目標帳號名稱(你查詢的帳號)
6-目標帳號域
70xc000006d登入失敗原因代碼(STATUS_LOGON_FAILURE = 用戶名或密碼錯誤)
8%%2313描述錯誤的符號化代碼,對應 登入失敗
90xc000006a失敗的密碼錯誤(STATUS_WRONG_PASSWORD)
103登入類型(3 = 網路登入 / 網路共享)
11NtLmSsp驗證提供者(NTLM)
12NTLM驗證協議
13-16-本地工作站、進程名稱等(空)
170本地網域控制器代碼
180x0其他保留
19-驗證套件(空)
20103.4.92.103來源 IP,攻擊者或失敗登入來源)
210其他保留

關鍵資訊

  • 帳號:ADMINISTRATOR
  • 失敗原因:0xc000006d + 0xc000006a → 密碼錯誤
  • 登入類型:3 → 網路登入(可能是 SMB、RDP 或網路資源)
  • 來源 IP:103.4.92.103 → 登入來源(可用於追蹤攻擊者)
  • 事件時間:2026/4/23 上午 06:25:10

用Whois去查來源IP

https://www.whois365.com/tw/#google_vignette

查到

  • IP 位址 : 103.4.92.103
  • PTR : khi.isra.edu.pk
  • IP 位置 : 巴基斯坦 巴基斯坦 的旗幟 

********************************************************************************

啟用被鎖住的帳號


C:\Windows\System32>net user administrator /active:yes
命令已經成功完成。

(完)

相關

張貼者:
標籤:

沒有留言:

張貼留言

訂閱: 張貼留言 (Atom)