0


Windows 安全基础(黑客)

Windows 隐藏账号

攻击方法:

命令行输入以下命令,可以进行简单的隐藏(命令行下不可见)

net user test$ 123456 /add

net localgroup administrators test$ /add

通过注册表隐藏用户(实现步骤如下):

要实现很好的隐藏,需要通过注册表,运行中输入regedit,然后点击 HKEY_LOCAL_MACHINE>SAM>SAM,,然后添加相应的权限:

打开可以看到SAM目录签有+号可以打开

对test$和0x3F0目录右键导出

(若想给test$用户赋权,则可以将该用户的键值(例子中为0x3f0)改为Administrator

的所对应的键值即可。)

导出0x1F4目录。

接着打开0x3F0目录导出的文件,可以看到F表示用户信息,V表示权限信息

接着,用1f4文件中F的键值替换3f0中F的键值:
接着在命令行删除test$用户:

可以看到test$用户的信息被删除了。

然后双击刚刚修改过的3f0文件,提示是否将内容添加进注册表

选择Yes,接着对刚刚导出的test$.reg文件进行同样的操作,然后进入注册表中查看

查看得到刚刚删除的test$用户又显示出来了。

重新刷新查看计算机管理中的用户和命令行下的net users命令,没有显示该用户

接着注销当前账户后就可以使用test$用户登录了。

但是上述的方法在注册表中仍然可以查看到(容易被杀毒软件查杀,且注册表可见用户名称及对应的盐值),

这时可以通过rootkit工具实现超级隐藏。

防御方法:

通过任务管理器查看是否存在用户名后接$的用户,若存在则需要通过杀毒软件找到相

应的隐藏文件再将其删除。

Windows 账号克隆

Windows账号克隆的整个步骤为:

1、禁用账号guest

2、改guest密码:net user guest pass

3、运行>regedit>HKEY_LOCAL_MACHINE>SAM>SAM>Domains>Account>Users,

1F4:Administrator,1F5:guest

4、将Administrator中1F4的F值复制给guest中1F5的F值即可

Windows 日志与审计

windows有3种类型的事件日志:

a) 系统日志,用于跟踪系统时间,跟踪系统的启动过程中的事件或控制器的故障

b) 应用程序日志,跟踪用户程序关联的事件,比如应用程序加载的dll,或失败的信息

c) 安全日志,安全日志的默认状态是关闭的,用于记录登录上网和下网,改变访问权限以及系统的启动和关闭,

日志的默认存储路径在%systemroot%\system32\config中,

位于注册表的HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\EventLog后,

下面的Application,Security,System三个子文件分别对应了应用程序,安全,系统三个日志

Windows事件日志简介

打开控制面板->系统与安全->事件查看器

本质上是数据库:发生什么--什么时间--与谁有关--是否系统相关--访问什么资源

共有五种事件级别:所有的事件必须只能拥有其中的一种事件级别

成功的审核安全访问尝试,主要指安全性日志,所有的成功登录系统都会被记录为成

功审核事件

日志审计的基本规则:

FTP日志分析,在#DATE后面显示的为日期,然后在下面显示的信息依次是:

时间,IP地址,USER,用户名, 331(试图登录)

时间,IP地址,PASS – 530(登录失败)

时间,IP地址,PASS – 230(登录成功)

时间,IP地址,PASS – 530(登录失败)

HTTP日志分析,基本内容为:

日期,时间,访客IP,访问的IP,端口,后面可能是GET 然后一个文件(或网页),

后面的信息是浏览器和操作系统

Windows 安全策略

本地安全策略:

本地安全策略影响本地计算机的安全设置,当用户登录到系统时,就会受到本地

安全策略的影响,他会限制用户的一些操作,如密码长度等等。

win+r -->Secpol.msc 开启本地安全策略管理器

a) 密码策略,这个可以在控制面板本地安全策略里面找到,设置的密码必需符合安全性要求,并且有效期默认为42天,其中所有的选择的都是可以自己设置的,包括密码的安全性要求的开关等

b) 锁定策略,可以在本地安全策略里面设置账户锁定策略,就是输入多少次密码输入错误之后执行的操作

c) 审核策略,审核策略是网络安全的核心之一,这个也是在本地安全策略secpol.msc里面的,审核报告会被写入安全日志,可以使用事件查看器来查看

d) 用户权力指派,安全组定义了从建立页面文件到登录服务器控制台的各种权力。用户和组通过被添加到相应的安全组页面而得到的这些系统权限

e) 安全选项:安全选项包括了一些与安全有关的注册表项,这些表项与用户无关,只影响到常规的系统操作,可以使用secedit命令来更改,可以使用Refresh-policyMachine_policy在不重启计算机的情况下刷新策略

本地安全组策略:

win+r -->gpedit.msc 开启本地组策略管理器

Windows 服务器权限分析

常见用户(权限从高到低):SYSTEM、Administrator、Guest(默认是禁用的)

常见用户组:Administrators(最高权限)、Backup Operators(不如Administrators权限高,但差不多)、Guests(与USER组权限相同)、Distributed COM Users、Network Configuration Operators、Performance Log Users、Performance Monitor Users、Power Users、Print Operators、Users、IIS_WPG

Windows2003默认权限:

1、默认只安装静态HTTP服务器

2、增强的文件访问控制

3、父目录被禁用

4、坚持最小特权原则

Windows 密码安全性测试

本地管理员密码如何获取:Mimikatz(渗透测试常用工具。法国一个牛B的人写的轻量

级调试器,可以帮助安全测试人员抓取Windows密码。)

使用方法:

privilege::debug 提升权限

sekurlsa::logonpassWords 抓取密码

(根据电脑的位数,选择对应位数的版本)

Windows 7 shift后门

攻击方法:

五次shift(粘滞键>sethc.exe 替换为cmd.exe、explorer.exe),前提是破坏WFP即Windows文件保护

Shift后门制作

cd c:\windows\system32

attrib -s -r -h sethc.exe

+r或-r [文件名] 设置文件属性是否为只读

+h或-h [文件名] 设置文件属性是否隐含

+s或-s [文件名] 设置文件属性是否为系统文件

copy cmd.exe sethc.exe

注销用户,在登录界面中连续输入5次shift键:

输入explorer.exe直接绕过登录成功:

防御方法:

cd c:\windows\system32

cacls sethc.exe /p everyone:n

再去尝试5次shift已经没有效果了。

软件捆绑类远控、后门查杀

1、查看进程:

netstat -an

netstat -ano多显示一个PID

tasklist /svc

2、查看服务:

可以使用工具XueTr

微软服务的描述在最后都是由句号的,而第三方的服务是没有的。

先将dll文件删除,然后终止进程关闭服务。

其他

小窍门:

离开电脑时,一定要锁屏

快捷键是:WIN+L

安装杀毒软件

切勿随意共享文件

定期备份重要数据


本文转载自: https://blog.csdn.net/2301_80361487/article/details/135890106
版权归原作者 想拿 0day 的脚步小子 所有, 如有侵权,请联系我们删除。

“Windows 安全基础(黑客)”的评论:

还没有评论