windows系统内置用户和组
内置用户:
Administrator:系统管理元账户
Guest:来宾账户,供访问共享资源的网络用户使用,仅具有最基本的权限,默认被禁用。
内置用户组:
Administrator:管理员组
User组:新建用户默认所属组
Guests组:权限最低
最高权限的是System;
安装了IIS之后,系统中会自动添加两个账号:
IUSR_*:Web客户端的高匿名访问账号,Guests组成员;
IWAM_*:IIS应用程序的运行账号,IIS_WPG组的成员;
获取webshell,其实就是获取了IUSR_*账号的使用权限,通常对于本站目录具有读,写,修改权限;
提权的最终目的是为了获取Administrator组权限;
net user命令:
net user 查看当前有什么用户
net user administrator 查看该用户的信息,是否启用,以及属于哪一个组的成员
主要用于添加用户:
net user hack 123 /add 添加一个hack用户
net user test abc 将test用户的密码更改为abc
net user test /del 将用户test删除
net user guest /active:yes 将用户guest启用
net user guest /active:no 将用户guest禁用
对windows组进行管理:
net localgroup 查看当前组
查看当前用户:
whoami
可以通过将cmd.exe上传到一些文件夹(如回收站的文件夹)中,用于执行不能执行的命令,便于提权;
windows系统的SAM数据库:
位于C:\windows\system32\config\SAM
LM-hash:Win9x系统采用,安全性比较差
NTLM-Hash:Win2000之后的系统采用
win7/2008之前的系统同时采用这两种方式存储密码;
Win7/2008之后的系统只采用NTLM-Hash;
导出并破解系统密码Hash值:
GetHashes:
只能获取XinXP/2003以下系统的用户密码hash值
Quarks PwDump:
支持XP/2003/Vista/win7/2008/win8/2012
在线破解:
http://www.objectif-securite.ch/en/ophcrack.php
创建简单的隐藏账号:
建立用户账号时,如果在用户名后面加上$符号,就可以建立一个简单的隐藏账号,如“test$”
在字符界面下执行net user 命令,无法查看到这个账号,但是在图形界面的“本地用户和组”中仍然可以看到
安全标识符:SID
系统为每个用户账号建立一个唯一的安全标识符(Security Identifier,SID),在Windows系统内部核心,是利用SID而不是账号名称来表示或标识每个用户;
执行“whoami /all” 命令查看系统当前用户的SID
安全标识符:RID
SID的最后一部分称为相对标识符RID
RID是500的SID是系统内置Administrator账号,即使重命名,其RID仍保持500不变
RID为501的SID是Guest账号
后来新建的用户账户的RID都是从1000开始的;
建立完全隐藏账号:
(通过导入注册表用户,可以隐藏;
即先新建一个用户,再将用户的注册表导出,然后删除用户,再将用户的注册表重新导入回去;
通过将管理员的SID复制粘贴到新建用户,即可获得管理员权限;)
建立简单隐藏账号“super$”,展开注册表[HKEY_LOCAL_MACHINE\SAM\SAM],为administrator赋予完全控制权限,按F5键刷新。
在[SAM\Domains\Account\Users\Names]项里选中super$,在右侧找到名为“默认”,类型为“0x3eb”的键值。“3eb”是super$用户的RID。
在[SAM\Domains\Account\Users]里有一个以“3EB”结尾的子项。
将这两个项的值分别导出成扩展名为.reg的注册表文件。
将super$用户删除。
将刚导出的两个注册表文件重新导入,此时super$账户就被彻底隐藏了。
在注册表项中找到administrator用户的RID值“1f4”,展开对应的“000001F4”项,右侧有一个名为f的键值,其中存放了用户的SID。
将这个键值的数据全部复制,并粘贴到“000003EB”项的f键值中,也就是将administrator的SID复制给了super$。
如何防范建立隐藏账号:
检查注册表
利用相关工具,“本地管理员检查工具”。
windows系统日志清除:
系统日志:
执行eventvwr.msc命令打开事件查看器对日志进行管理
三种类别的系统日志:
应用程序日志:包含有应用程序或系统程序记录的事件
安全性日志:记录有效和无效的登录尝试事件等
系统日志:包含windows系统组件记录的事件。
如何清除:
利用Elsave日志清除工具;
elsave -l 日志类型 -C
-l 指定日志类型,application为应用程序日志,system为系统日志,security为安全日志
-C 清除日志操作,注意“-C”要大写
如:elsave.exe -l security -C
IIS日志:
网站日志文件统一放在“C:\WINDOWS\system32\LogFiles”文件夹中。
2016-07-01 03:25:40 W3SVC1 192.168.80.133 GET /index.asp - 80 - 192.168.80.1 Mozilla/5.0+(compatible;+MSIE+9.0;+Windows+NT+6.1;+WOW64;+Trident/5.0) 200 0 0”。
2016-07-01 03:25:40;IP地址为192.168.80.1的客户端访问了IP地址为192.168.80.133的Web服务器中的index.asp页面;客户端使用的浏览器是+MSIE+9.0,即IE9.0;客户端使用的操作系统是“Windows+NT+6.1”,即Win7
清除IIS日志:
直接删除日志文件,虽然可以清楚黑客入侵记录,但也很容易让管理员发现服务器被入侵了
推荐使用CleanIISLog工具清除指定IP的日志记录
如:CleanIISLog.exe C:\WINDOWS\system32\LogFiles\W3SVC1\ex160630.log 192.168.80.129