Windows系统基础
初识操作系统
操作系统
操作系统(Operating System,简称OS)是管理和控制计算机硬件与软件资源的计算机程序,是直接运行在“裸机”上的最基本的系统软件,任何其他软件都必须在操作系统的支持下才能运行。
操作操作系统的分类
1、Windows 由微软公司开发,是目前使用最广泛的操作系统。 2、Linux 由Linus Torvalds于1991年首次发布,是一个自由和开放源代码的类Unix操作系统。 3、Mac OS 由苹果公司开发,是一种基于BSD Unix的操作系统,主要用于苹果公司的Macintosh系列计算机。
Windows历史与发展
Microsoft Windows是美国微软公司以图形用户界面为基础研发的操作系统,主要运用于计算机、智能手机等设备,共有普通版本、服务器版本(Windows Server)、手机版本(Windows Phone等)、嵌入式版本(Windows CE等)等子系列,是全球应用最广泛的操作系统之一。
Windows版本
服务器系统:
1、Windows Server 2003
2、Windows Server 2008
3、Windows Server 2012
4、Windows Server 2019
5、Windows Server 2022
服务器版本主要运用于服务器、数据中心等场景,提供高可用性、高可靠性、高扩展性的服务。
个人系统
1、Windows 7
2、Windows 10
3、Windows 11
个人系统主要运用于个人电脑、笔记本等场景,提供方便的用户界面和丰富的应用程序。
Windows系统服务安全
Windows系统的安全风险主要包括系统自身/服务安全和第三方应用程序安全。
windows安全事件
永恒之蓝事件: 不法分子利用永恒之蓝漏洞传播勒索病毒,100多个国家和地区超过10万台电脑遭到了攻击、感染,至少150个国家、30万名用户中招,造成损失达80亿美元。
windows经典漏洞-MS17-010
永恒之蓝是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限,以此来控制被入侵的计算机。永恒之蓝是在 Windows 的SMB服务处理SMB v1请求时发生的漏洞,这个漏洞导致攻击者在目标系统上可以执行任意代码。
攻击机:kali--利用msf扫描目标主机是否存在该漏洞。 例如: nmap -sV -p445 --script=smb-vuln-ms17-010 192.168.20.142
攻击流程:
msfconsole
search ms17-010 #查找模块
use 模块序号
show options #设置选项
set rhosts xxx.xxx.xxx.xxx
run开始攻击
Windows用户与组
Windows是多用户操作系统,用户组是一系列用户的集合,组内的用户自动具备该组所设置的权限。 windows用户:
system:本地机器上拥有最高权限的用户(为系统核心组件访问文件资源提供权限)
Administrator:默认系统管理员用户
Standard User:标准用户
guest:来宾用户
Windows 文件权限
Windows利用用户与组进行文件与软件执行的权限管理。包括:完全控制、修改读取和运行、列出文件夹目录、读取、写入
用户管理命令
#查看用户
net user
#创建普通用户
net user 用户名 密码 /add
#修改用户密码
net user 用户名 新密码
#删除用户账户
net user 用户名 /delete
#将用户添加到特定组
net localgroup 组名 用户名 /add
安全后门:隐藏用户
隐藏用户是指在Windows系统中创建的用户账户,这些用户账户在普通用户登录时是不可见的,只能通过特殊的方法来访问。
隐藏用户的主要作用是为了保护系统的安全,防止普通用户误操作或被攻击。
创建隐藏用户【命令提示窗口看不见】 net user zhangsan$ 123456 /add
安全后门:影子用户
影子用户是指在Windows系统中创建的用户账户,这些用户账户在普通用户登录时是不可见的,只能通过特殊的方法来访问。
影子用户的主要作用是为了保护系统的安全,防止普通用户误操作或被攻击。
1、创建影子用户【影子用户通过注册表查看】 win+r->regedit
2、Windows管理用户的注册表键值: HKEY_LOCAL_MACHINE\SAM\SAM
3、修改权限
4、分别导出隐藏用户信息和权限的注册表,以及管理 员用户权限的注册表;修改F值。将隐藏用户做成管理 员用户的影子。
5、删除隐藏用户zhangsan$
6、导入影子用户权限、用户信息注册表。
7、尝试登录。
Windows第三方应用程序安全
windows第三方软件安全事件
微信历史漏洞,wps历史漏洞,qq历史漏洞等。
例如向日葵版本漏洞存在于 向日葵个人版for Windows <= 11.0.0.33 向日葵简约版 <= V1.0.1.43315(2021.12)
端口扫描
攻击视角端口扫描: 向日葵运行状态下会自动随机开启一个大于40000的端口 使用nmap扫描目标服务器端口(向日葵的端口范围一般在40000-65535之间) nmap -p 40000-65535 10.0.0.102
向日葵版本漏洞利用
工具启动方式:cmd命令行 java -jar Sunlogin漏洞利用工具.jar
攻击者视角木马投放
1、做木马病毒 2、植入木马 3、启动木马 4、控制靶机
windows进程
进程是指正在运行的程序实例,每个进程都有自己的内存空间、文件句柄、环境变量等。
进程的主要作用是为了实现多任务处理,使计算机可以同时运行多个程序。
可在任务管理器中查看进程信息,包括进程ID、进程名称、占用的CPU时间、占用的内存等。也可win+r->tasklist->进程查看进程信息。
网络连接
netstat -ano 查看网络连接状态、端口占用、进程关联 【主要看有无外联ip以及对应的端口查询可疑的网络连接】 可通过情报分析平台进行分析, 如微步:x.threatbook.com/
启动项、计划任务、服务
有时木马会在启动项中注册,导致开机自动运行。
启动项: 启动项是指Windows系统在开机或用户登 录时自动运行的程序或服务。 计划任务: 计划任务是Windows系统用于定时执行特 定任务的功能,如数据备份、软件更新、 自动化脚本等。 查看服务: net start
windows基础安全防御总结
1、系统服务漏洞防御手段 及时更新系统补丁,修复已知漏洞。 禁用不必要的服务,减少攻击 surface。 配置服务为手动启动,避免自动运行。
2、第三方软件防御手段 安装 reputable 软件供应商的软件。 及时更新软件,修复已知漏洞。 配置软件为最小权限运行,限制其访问系统资源的能力。
