windows提權筆記

windows系統內置用戶和組

內置用戶：

Administrator：系統管理元賬戶

Guest：來賓賬戶，供訪問共享資源的網絡用戶使用，僅具有最基本的權限，默認被禁用。

內置用戶組：

Administrator：管理員組

User組：新建用戶默認所屬組

Guests組：權限最低

最高權限的是System；

 

安裝了IIS之後，系統中會自動添加兩個賬號：

IUSR_*：Web客戶端的高匿名訪問賬號，Guests組成員；

IWAM_*：IIS應用程序的運行賬號，IIS_WPG組的成員；

 

獲取webshell，其實就是獲取了IUSR_*賬號的使用權限，通常對於本站目錄具有讀，寫，修改權限；

 

提權的最終目的是爲了獲取Administrator組權限；

 

net user命令：

net user 查看當前有什麼用戶

net user administrator 查看該用戶的信息，是否啓用，以及屬於哪一個組的成員

主要用於添加用戶：

net user hack 123 /add 添加一個hack用戶

net user test abc 將test用戶的密碼更改爲abc

net user test /del 將用戶test刪除

net user guest /active:yes 將用戶guest啓用

net user guest /active:no 將用戶guest禁用

 

對windows組進行管理：

net localgroup 查看當前組

 

查看當前用戶：

whoami

 

可以通過將cmd.exe上傳到一些文件夾（如回收站的文件夾）中，用於執行不能執行的命令，便於提權；

 

windows系統的SAM數據庫：

位於C:\windows\system32\config\SAM

LM-hash：Win9x系統採用，安全性比較差

NTLM-Hash：Win2000之後的系統採用

win7/2008之前的系統同時採用這兩種方式存儲密碼；

Win7/2008之後的系統只採用NTLM-Hash；

 

導出並破解系統密碼Hash值：

GetHashes：

只能獲取XinXP/2003以下系統的用戶密碼hash值

Quarks PwDump：

支持XP/2003/Vista/win7/2008/win8/2012

在線破解：

http://www.objectif-securite.ch/en/ophcrack.php

 

創建簡單的隱藏賬號：

建立用戶賬號時，如果在用戶名後面加上$符號，就可以建立一個簡單的隱藏賬號，如“test$”

在字符界面下執行net user 命令，無法查看到這個賬號，但是在圖形界面的“本地用戶和組”中仍然可以看到

 

安全標識符：SID

系統爲每個用戶賬號建立一個唯一的安全標識符（Security Identifier，SID），在Windows系統內部核心，是利用SID而不是賬號名稱來表示或標識每個用戶；

執行“whoami /all” 命令查看系統當前用戶的SID

安全標識符：RID

SID的最後一部分稱爲相對標識符RID

RID是500的SID是系統內置Administrator賬號，即使重命名，其RID仍保持500不變

RID爲501的SID是Guest賬號

後來新建的用戶賬戶的RID都是從1000開始的；

 

建立完全隱藏賬號：

（通過導入註冊表用戶，可以隱藏；

即先新建一個用戶，再將用戶的註冊表導出，然後刪除用戶，再將用戶的註冊表重新導入回去；

通過將管理員的SID複製粘貼到新建用戶，即可獲得管理員權限；）

 

建立簡單隱藏賬號“super$”，展開註冊表[HKEY_LOCAL_MACHINE\SAM\SAM]，爲administrator賦予完全控制權限，按F5鍵刷新。

在[SAM\Domains\Account\Users\Names]項裏選中super$，在右側找到名爲“默認”，類型爲“0x3eb”的鍵值。“3eb”是super$用戶的RID。

在[SAM\Domains\Account\Users]裏有一個以“3EB”結尾的子項。

將這兩個項的值分別導出成擴展名爲.reg的註冊表文件。

將super$用戶刪除。

將剛導出的兩個註冊表文件重新導入，此時super$賬戶就被徹底隱藏了。

在註冊表項中找到administrator用戶的RID值“1f4”，展開對應的“000001F4”項，右側有一個名爲f的鍵值，其中存放了用戶的SID。

將這個鍵值的數據全部複製，並粘貼到“000003EB”項的f鍵值中，也就是將administrator的SID複製給了super$。

如何防範建立隱藏賬號：

檢查註冊表

利用相關工具，“本地管理員檢查工具”。

 

windows系統日誌清除：

系統日誌：

執行eventvwr.msc命令打開事件查看器對日誌進行管理

三種類別的系統日誌：

應用程序日誌：包含有應用程序或系統程序記錄的事件

安全性日誌：記錄有效和無效的登錄嘗試事件等

系統日誌：包含windows系統組件記錄的事件。

 

如何清除：

利用Elsave日誌清除工具；

elsave -l 日誌類型 -C

-l 指定日誌類型，application爲應用程序日誌，system爲系統日誌，security爲安全日誌

-C 清除日誌操作，注意“-C”要大寫

如：elsave.exe -l security -C

 

IIS日誌：

網站日誌文件統一放在“C:\WINDOWS\system32\LogFiles”文件夾中。

2016-07-01 03:25:40 W3SVC1 192.168.80.133 GET /index.asp - 80 - 192.168.80.1 Mozilla/5.0+(compatible;+MSIE+9.0;+Windows+NT+6.1;+WOW64;+Trident/5.0) 200 0 0”。

 

2016-07-01 03:25:40；IP地址爲192.168.80.1的客戶端訪問了IP地址爲192.168.80.133的Web服務器中的index.asp頁面；客戶端使用的瀏覽器是+MSIE+9.0，即IE9.0；客戶端使用的操作系統是“Windows+NT+6.1”，即Win7

 

清除IIS日誌：

直接刪除日誌文件，雖然可以清楚黑客入侵記錄，但也很容易讓管理員發現服務器被入侵了

推薦使用CleanIISLog工具清除指定IP的日誌記錄

如：CleanIISLog.exe C:\WINDOWS\system32\LogFiles\W3SVC1\ex160630.log 192.168.80.129