windows系統內置用戶和組
內置用戶:
Administrator:系統管理元賬戶
Guest:來賓賬戶,供訪問共享資源的網絡用戶使用,僅具有最基本的權限,默認被禁用。
內置用戶組:
Administrator:管理員組
User組:新建用戶默認所屬組
Guests組:權限最低
最高權限的是System;
安裝了IIS之後,系統中會自動添加兩個賬號:
IUSR_*:Web客戶端的高匿名訪問賬號,Guests組成員;
IWAM_*:IIS應用程序的運行賬號,IIS_WPG組的成員;
獲取webshell,其實就是獲取了IUSR_*賬號的使用權限,通常對於本站目錄具有讀,寫,修改權限;
提權的最終目的是爲了獲取Administrator組權限;
net user命令:
net user 查看當前有什麼用戶
net user administrator 查看該用戶的信息,是否啓用,以及屬於哪一個組的成員
主要用於添加用戶:
net user hack 123 /add 添加一個hack用戶
net user test abc 將test用戶的密碼更改爲abc
net user test /del 將用戶test刪除
net user guest /active:yes 將用戶guest啓用
net user guest /active:no 將用戶guest禁用
對windows組進行管理:
net localgroup 查看當前組
查看當前用戶:
whoami
可以通過將cmd.exe上傳到一些文件夾(如回收站的文件夾)中,用於執行不能執行的命令,便於提權;
windows系統的SAM數據庫:
位於C:\windows\system32\config\SAM
LM-hash:Win9x系統採用,安全性比較差
NTLM-Hash:Win2000之後的系統採用
win7/2008之前的系統同時採用這兩種方式存儲密碼;
Win7/2008之後的系統只採用NTLM-Hash;
導出並破解系統密碼Hash值:
GetHashes:
只能獲取XinXP/2003以下系統的用戶密碼hash值
Quarks PwDump:
支持XP/2003/Vista/win7/2008/win8/2012
在線破解:
http://www.objectif-securite.ch/en/ophcrack.php
創建簡單的隱藏賬號:
建立用戶賬號時,如果在用戶名後面加上$符號,就可以建立一個簡單的隱藏賬號,如“test$”
在字符界面下執行net user 命令,無法查看到這個賬號,但是在圖形界面的“本地用戶和組”中仍然可以看到
安全標識符:SID
系統爲每個用戶賬號建立一個唯一的安全標識符(Security Identifier,SID),在Windows系統內部核心,是利用SID而不是賬號名稱來表示或標識每個用戶;
執行“whoami /all” 命令查看系統當前用戶的SID
安全標識符:RID
SID的最後一部分稱爲相對標識符RID
RID是500的SID是系統內置Administrator賬號,即使重命名,其RID仍保持500不變
RID爲501的SID是Guest賬號
後來新建的用戶賬戶的RID都是從1000開始的;
建立完全隱藏賬號:
(通過導入註冊表用戶,可以隱藏;
即先新建一個用戶,再將用戶的註冊表導出,然後刪除用戶,再將用戶的註冊表重新導入回去;
通過將管理員的SID複製粘貼到新建用戶,即可獲得管理員權限;)
建立簡單隱藏賬號“super$”,展開註冊表[HKEY_LOCAL_MACHINE\SAM\SAM],爲administrator賦予完全控制權限,按F5鍵刷新。
在[SAM\Domains\Account\Users\Names]項裏選中super$,在右側找到名爲“默認”,類型爲“0x3eb”的鍵值。“3eb”是super$用戶的RID。
在[SAM\Domains\Account\Users]裏有一個以“3EB”結尾的子項。
將這兩個項的值分別導出成擴展名爲.reg的註冊表文件。
將super$用戶刪除。
將剛導出的兩個註冊表文件重新導入,此時super$賬戶就被徹底隱藏了。
在註冊表項中找到administrator用戶的RID值“1f4”,展開對應的“000001F4”項,右側有一個名爲f的鍵值,其中存放了用戶的SID。
將這個鍵值的數據全部複製,並粘貼到“000003EB”項的f鍵值中,也就是將administrator的SID複製給了super$。
如何防範建立隱藏賬號:
檢查註冊表
利用相關工具,“本地管理員檢查工具”。
windows系統日誌清除:
系統日誌:
執行eventvwr.msc命令打開事件查看器對日誌進行管理
三種類別的系統日誌:
應用程序日誌:包含有應用程序或系統程序記錄的事件
安全性日誌:記錄有效和無效的登錄嘗試事件等
系統日誌:包含windows系統組件記錄的事件。
如何清除:
利用Elsave日誌清除工具;
elsave -l 日誌類型 -C
-l 指定日誌類型,application爲應用程序日誌,system爲系統日誌,security爲安全日誌
-C 清除日誌操作,注意“-C”要大寫
如:elsave.exe -l security -C
IIS日誌:
網站日誌文件統一放在“C:\WINDOWS\system32\LogFiles”文件夾中。
2016-07-01 03:25:40 W3SVC1 192.168.80.133 GET /index.asp - 80 - 192.168.80.1 Mozilla/5.0+(compatible;+MSIE+9.0;+Windows+NT+6.1;+WOW64;+Trident/5.0) 200 0 0”。
2016-07-01 03:25:40;IP地址爲192.168.80.1的客戶端訪問了IP地址爲192.168.80.133的Web服務器中的index.asp頁面;客戶端使用的瀏覽器是+MSIE+9.0,即IE9.0;客戶端使用的操作系統是“Windows+NT+6.1”,即Win7
清除IIS日誌:
直接刪除日誌文件,雖然可以清楚黑客入侵記錄,但也很容易讓管理員發現服務器被入侵了
推薦使用CleanIISLog工具清除指定IP的日誌記錄
如:CleanIISLog.exe C:\WINDOWS\system32\LogFiles\W3SVC1\ex160630.log 192.168.80.129