内网渗透之 windows 基础
内网渗透 windows 基础
1、认识用户
1.1、用户权限划分
1、system(最高权限) 2、Administrator(管理员) 3、User(普通用户)
1.2、权限继承
比如用管理员启动 ftp,ftp 就获取了管理员权限
1.3、默认用户
1、Administrator 2、Guest(来宾用户)
查看系统全部用户:
net user
2、认识组
2.1、用户组
用户组的特性:
1、组是一些用户的集合
2、为一个组添加权限后,组内成员自动获得相应的权限
3、一个用户加入组后,自动获取组的所有权限
2.2、特殊的组
1、Administrators 组
系统管理员组,拥有系统管理员权限
2、Guests 组
来宾用户组,普通来宾用户
3、Users 组
普通用户组
4、Power Users 组
可以创建、删除用户,创建共享文件夹等
5、Remote Desktop 组
拥有远程连接功能(Administrators 组默认拥有此权限)
6、Print Users 组
拥有操作打印机权限
2.3、查看用户组
net localgroup
3、SID(安全标识符)
创建用户的唯一号码
3.1、查看用户 SID
whoami /user
4、基本命令
4.1、用户命令
whoami #查看当前用户权限(最高权限:nt authority\system)
net user 用户名 #查看用户具体信息
net user 用户名 密码 /add #添加一个新用户(需要管理员权限)注意密码复杂度
query user #查询在线用户
4.2、用户组命令
net localgroup 组名 /add #添加一个用户组
net localgroup 组名 #查看组内成员
net localgroup 用户组 用户名 /del #将指定用户移除组
net localgroup 用户组 用户名 /add #将指定用户添加组
4.3、进程命令
tasklist #查看进程
tasklist /svc #显示PID,名字,服务
taskkill /f /im 进程名 #杀死进程
TeamService.exe #远程桌面进程
4.4、网络命令
ipconfig /all #查看本机IP地址(详细信息)
netstat -ano #查看本地网络信息
netstat -ano | findstr "3389" #只看3389端口信息
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f #开启3389端口
REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 11111111 /f #关闭3389端口
4.5、系统命令
#查看系统版本
ver
---------------------------
windows5.1--win2003
windows5.2--winXP
windows6.1--win7/win2008
winodws6.2--win8/win2012
windows10 --win10
systeminfo #查看windows详细信息
5、windows 认证及密码
5.1、密码存储文件 sam
默认存储在windows的c:\windows\system32下的config目录下面SAM文件
存储用户名及密码(需要管理员权限)
5.2、密码加密类型
1、lm hash
2、ntlm hash(主要)
版本:ntlm v1协议、ntlm v2协议
5.2.1、lm hash
可以理解为 ntlm hash 的前身,不做过多概述
5.2.2、ntlm hash
使用 python 可以进行类似加密操作
from passlib.hash import nthash
h = nthash.hash('admin') //得到admin的ntlm hash
在登陆过程中,一般会有一个进程专门负责加密
登录过程--winlogon.exe--接受密码(明文密码)
传递过程--传递给lsass.exe进程--将用户名和密码进行加密
认证过程--将加密后的值与SAM文件加密的值进行对比
以后可以通过 lsass.exe 抓取 windows 明文密码
5.3、win 版本 && 密码版本
windwos2000 -- lm hash(基本上见不到)
windows2003 -- ntlm hash
windows7 -- ntlm v2
6、认识 windows UAC
6.1、UAC 概述
UAC 虚拟化:User Account Cortrol(用户账户控制)虚拟化,通常见于 Windows 系统下的 Vista 和 7 及以上
主要防止敏感操作,在应用造操作需要管理员权限时会触发 UAC 效果
6.2、触发 UAC 的操作
(1)windows 更新
(2)增加或删除用户
(3)更改账户类型
(4)安装或删除程序
(5)安装驱动
(6)设置家长控制
(~)等等
7、认识 windows ASR
7.1、ASR 概述
ASR:攻击面缩减(Attack Surface Reduction),现在主要用于防御
版本要求:windows 10 – 1709版本、windows server 2016 及之后版本
7.2、ASR 的作用
作用:通过配置规则减少系统被恶意软件攻击
(1)office 钓鱼攻击
(2)usb 攻击
(3)驱动下载攻击
(4)apk 攻击
7.3、ASR 查询
ASR 位置:
打开组策略编辑器:gpedit.msc (注册表)
管理模板(Administrative Templates)-- Windows 组件(Windows Components)-- Windows Defender Antivirus – Windows Defender Exploit Guard – 攻击面减少(Attack Surface Reduction)
7.4、ASR 默认规则
(1)未配置:禁用 --> 0
(2)阻止:启用 --> 1
(3)审核:评估 ASR 规则在启用后对组织的影响 --> 2
(4)警告:启用规则,但允许最终用户绕过块
7.5、设置 ASR 规则
一般使用 PowerShell 进行相关操作
ADD-MpPreference -AttackSurfaceReductionOnlyExclusions "规则"
设置规则一般都是由微软官方定义的一些规则
GUID 矩阵的 ASR 规则:
规则名称 规则 GUID阻止滥用被利用的易受攻击的签名驱动程序 56a863a9-875e-4185-98a7-b882c64b5ce5
阻止 Adobe Reader 创建子进程 7674ba52-37eb-4a4f-a9a1-f0f9a1619a2c
阻止所有 Office 应用程序创建子进程 d4f940ab-401b-4efc-aadc-ad5f3c50688a
阻止从 Windows 本地安全机构子系统 (lsass.exe) 窃取凭据 9e6c4e1f-7d60-472f-ba1a-a39ef669e4b2
阻止电子邮件客户端和 Webmail 中的可执行内容 be9ba2d9-53ea-4cdc-84e5-9b1eeee46550
阻止可执行文件运行,除非它们满足普遍性、年龄或受信任的列表条件 01443614-cd74-433a-b99e-2ecdc07bfc25
阻止执行可能混淆的脚本 5beb7efe-fd9a-4556-801d-275e5ffc04cc
阻止 JavaScript 或 VBScript 启动下载的可执行内容 d3e037e1-3eb8-44c8-a917-57927947596d
阻止 Office 应用程序创建可执行内容 3b576869-a4ec-4529-8536-b80a7769e899
阻止 Office 应用程序将代码注入其他进程 75668c1f-73b5-4cf0-bb93-3ecf5cb7cc84
阻止 Office 通信应用程序创建子进程 26190899-1602-49e8-8b27-eb1d0a1ce869
通过 WMI 事件订阅阻止持久性* 不支持文件和文件夹排除项 e6db77e5-3df2-4cf1-b95a-636979351e5b
阻止源自 PSExec 和 WMI 命令的进程创建 d1e49aac-8f56-4280-b9ba-993a6d77406c
阻止从 USB 运行的不受信任和未签名的进程 b2b3f03d-6a65-4f7b-a9c7-1c7ef74a9ba4
阻止来自 Office 宏的 Win32 API 调用 92e97fa1-2edf-4476-bdd6-9dd0b4dddc7b
对勒索软件使用高级保护 c1db55ab-c21a-4637-bb3f-a12568109d35
查看规则效果:
事件查看器
cmd中运行 eventvwr.msc
8、认识 Windows Applocker
8.1、Applocker 概述
应用程序控制策略:AppLocker,是Windows 7系统中新增加的一项安全功能
8.2、Applocker 功能
包含三部分功能:
(1)可执行程序控制
(2)安装程序控制
(3)脚本控制
8.3、查看 Applocker
默认为未开启,需要启用
services.msc中启用application identity(应用隔离)才会出现这个功能
进入注册表即可查看 applocker
gpedit.msc -- windows 设置 -- 安全设置 -- 应用程序控制策略 -- Applocker
打开本地安全策略
secpol.msc -- 应用程序控制(Applocation Control Pollcies)-- Applocker
8.4、Applocker 规则
Applocker 阻止的文件:
(1)可执行文件:exe
、com
(2)脚本:ps1
(powershell脚本)、bat
(批处理脚本)、vbs
(Visual Basic的脚本)
(3)安装文件:msi
(4)dll
文件
8.5、Applocker 规则条件
(1)发布者 – 数字签名标识
(2)路径
(3)文件 hash
9、认识 Token
9.1、windows token
访问令牌,用来描述进程或线程安全的对象,不用的用户登录都会生成一个对应的访问令牌,这个令牌在用户创建进程或线程会被使用进行拷贝。当使用这个令牌时,会获得这个令牌的所有权限
9.2、token 的组成
用户的 SID、用户组的 SID、用户登陆信息的状态 SID、等等
10、Windows PowerShell
一种脚本语言(可迭代),能够执行一些命令,后缀为.ps1
10.1、优点
(1)win7 之后默认集成
(2)内存执行,不会在系统上写入任何文件,具有一定的隐蔽性
(3)易于绕过一些杀毒软件
10.2、版本
查看版本 Get-Host
win7 -- powershell 2.0
win8 -- powershell 3.0
win8.1/2012 -- powershell 4.0
win10/11 -- powershell 5.0
10.3、powershell 执行策略
能不能运行用户所编写的脚本的功能
(1)禁止任何脚本运行(Restricted:禁止一切运行
)
(2)仅允许本地脚本运行(RemoteSigned:本地运行,远程不行
)
(3)仅拥有签名的脚本程序可以运行(AllSigned
)
(4)允许一切脚本运行(Unrestricted
)
Get-ExecutionPolicy //查看策略
Set-ExecutionPolicy //执行策略
10.4、绕过策略
正常运行脚本,报错
.\xxx.ps1绕过方式
powershell.exe -ep Bypass -File .\xxx.ps1
powershell.exe -ep Bypass -WindowsStyle Hidden -Nologo -Nointeractive -Noprofile -File .\xxx.ps1
10.5、常见脚本
powersplit
nishang
empire
powercat
11、认识 windows 域
11.1、域的组成
域控:Domain Controller 简称DC(公司老总级别)
一台计算机域管理员:Appliance Domain 简称AD
提供与服务的组件DNS服务器:域名与IP转换的服务(53端口)
可以依靠DNS服务器定位域控
11.2、域中常见用户组
域管理组 Domain Admins(高权限)
组用户组 Domain Users
企业系统管理组 Enterprise Admins(高权限)
架构管理员组 Schema Admins(高权限)
11.3、域内常见命令
查看网络具体信息
ipconfig
ipconfig /all查看用户在域内的详细信息
net user 用户名 /domain查看域内时间(通过实践定位域控)可以得到域控主机名称
net time /domain 查看域内有多少台机器
net view /domain:域名查看当前在线用户
query user || qwinsta 查看域内所有用户组(需要权限)
net group /domain查看域内成员列表
net group "domain computers" /domain
11.4、查找域控方式的命令
nltest /DClIST:域名
查看域控组
net group "domain controllers" /domain
11.5、查看域内用户
net user /domain
dsquery user (需要高版本操作系统)
net localgroup 用户组名 /domain
11.6、域内收集信息
PowerSploit脚本中的PowerView
需要先导入脚本 Import-Module .\PowerView.ps1
Get-NetUser #返回域内用户
Get-NetDomainController #获取域控
Get-NetComputer #获取域内机器
内网渗透之 windows 基础相关推荐
- 内网渗透学习-Windows信息收集
内网渗透学习-Windows信息收集 本章内容主要介绍在获取网站服务器webshell后,怎样对Windows主机进行信息收集,对其网络环境进行分析和利用,主要是一个思路整理,在后续的章节中会整理更详 ...
- 内网渗透之Windows反弹shell(一)
前言 作者简介:不知名白帽,网络安全学习者. 博客主页:https://blog.csdn.net/m0_63127854?type=blog 内网渗透专栏:https://blog.csdn.net ...
- 内网渗透(windows)
内网渗透 文章目录 内网渗透 基础知识 信息收集 常用命令 系统默认常见用户身份: 横向渗透(重点) 获取明文密码或Hash密码(需要管理员权限) PwDump7工具 Mimikatz工具 Procd ...
- 内网渗透(一)之基础知识-内网渗透介绍和概述
内网渗透介绍和概述 在我们讲解内网渗透的技术之前,我们先通过一张图来了解一下内网渗透的技术在整个渗透测试过程中处在一个什么样的位置 一.什么是内网 研究内网安全我们首先需要弄明白内网是什么?在渗透测试 ...
- 内网渗透之Windows 系统下的目标信息收集
0x00 前言 遇到的项目需要收集目标信息,在此记录下,一些记录一些关于用户信息的数据位置.(持续补充) 0x01 路径 以下用户均用 administrator 代替,对于不同的 Windows 用 ...
- 内网渗透(二十四)之Windows协议认证和密码抓取-Mimikatz读取sam和lsass获取密码
系列文章第一章节之基础知识篇 内网渗透(一)之基础知识-内网渗透介绍和概述 内网渗透(二)之基础知识-工作组介绍 内网渗透(三)之基础知识-域环境的介绍和优点 内网渗透(四)之基础知识-搭建域环境 内 ...
- linux实验总结及心得_安全实验室 | 内网渗透—Linux权限维持技巧总结
在上一篇文章中我们介绍了内网渗透中Windows环境下进行权限维持(点击阅读)的方式,本期我们将视角集中在Linux系统中继续对内网渗透中的权限维持方式进行探索.Linux也是在内网渗透中很常见的操作 ...
- 内网渗透(九)之内网信息收集-手动本地信息收集
前言 不管是在外网中还是在内网中,信息收集都是重要的第一步.对于内网中的一台机器,其所处内网的结构是什么样 的.其角色是什么.使用这台机器的人的角色是什么,以及这台机器上安装了什么杀毒软件.这台机器是 ...
- 内网渗透(十三)之内网信息收集-收集域环境中的基本信息
系列文章第一章节之基础知识篇 内网渗透(一)之基础知识-内网渗透介绍和概述 内网渗透(二)之基础知识-工作组介绍 内网渗透(三)之基础知识-域环境的介绍和优点 内网渗透(四)之基础知识-搭建域环境 内 ...
- 内网渗透(五十二)之域控安全和跨域攻击-搭建和查看域信任关系
系列文章第一章节之基础知识篇 内网渗透(一)之基础知识-内网渗透介绍和概述 内网渗透(二)之基础知识-工作组介绍 内网渗透(三)之基础知识-域环境的介绍和优点 内网渗透(四)之基础知识-搭建域环境 内 ...
最新文章
- Android 自定义圆形图片 CircleImageView
- 可突破任意ARP防火墙,以限制流量为目标的简单网络管理软件
- python求无序列表中位数_python 实现在无序数组中找到中位数方法
- 以太坊Geth的dev模式的使用过程
- 19福师计算机应用基础在线作业一答案,2019秋福师《计算机应用基础》在线作业一16(100分)...
- 大div套多个小div,怎样设置外div的高度自适应?
- mysql 更改数据库编码_更改MySQL数据库的编码为utf8mb4
- 详解:数据库名、实例名、ORACLE_SID、数据库域名、全局数据库名、服务名
- 调用startActivityForResult后,onActivityResult无响应的题目
- ffmpeg-从flv文件中提取AAC音频数据保存为文件
- 2.Functions and Getting Help
- 一次线上事故,让我对MySql的时间戳存char(10)还是int(10)有了全新的认识
- Flask+Mysql搭建网站之数据库问题
- 7-6 查找整数 (10 分)
- python+gensim︱jieba分词、词袋doc2bow、TFIDF文本挖掘
- 《Javascript秘密花园》学习笔记(下)
- matlab电子类元件库仿真元件,matlab电力系统仿真元件.doc
- c语言实验——G-鞍点计算
- JAVA基础算法(6)----- 国际象棋 α 皇后问题
- 日记侠:原来写文章竟然是为了这个
热门文章
- 小程序服务器装rsshub,用RSSHub制作自己的RSS订阅源
- win的反义词_单词还死记硬背?反义词法让孩子轻松记单词!
- 如何升级到 macOS Mojave
- #FFMPEG4.3.1#命令行实现视频码率转换、缩放、剪切、填充、旋转操作(3)
- excel两列数据对比找不同_莫斯科地标百年前后对比图,快来“找不同”
- java代码生成密钥库,Java密钥库keystore
- 流媒体弱网优化之路(FEC+mediasoup)——mediasoup的Nack优化以及FEC引入
- 谷歌搜索引擎总是被修改
- SitePoint播客#43:被动共享
- arcgis api for javascript 3.33 清空、删除图层