渗透攻防-深刻了解Windows

前言

本篇是基础教程，带你们了解Windows经常使用用户及用户组，本地提取用户密码，远程利用Hash登陆到本地破解Hash。初步掌握Windows基础安全知识。

目录

• 第一节 初识Windows
• 第二节 Windows密码安全
• 第三节 利用Hash远程登陆系统

正文

第一节 初识Windows

1.一、什么是Window

Microsoft Windows,是美国微软公司研发的一套操做系统，它问世于1985年，起初仅仅是Microsoft-DOS模拟环境，后续的系统版本因为微软不断的更新升级，不但易用，也慢慢的成为家家户户人们最喜好的操做系统。Windows采用了图形化模式GUI，比起从前的DOS须要键入指令使用的方式更为人性化。随着电脑硬件和软件的不断升级，微软的Windows也在不断升级，从架构的16位、32位再到64位， 系统版本从最初的Windows 1.0 到你们熟知的Windows 9五、Windows 9八、Windows ME、Windows 2000、Windows 200三、Windows XP、Windows Vista、Windows 七、Windows 八、Windows 8.一、Windows 10 和 Windows Server服务器企业级操做系统。


1.二、Windows经常使用用户

• SYSTEM：本地机器上拥有最高权限的用户。
• Administrator：本地机器上拥有最高权限的用户。
• Guest：只拥有相对较少的权限，默认被禁用。

1.三、Windows常见用户组

Administrators,管理员组，默认状况下，Administrators中的用户对计算机/域有不受限制的彻底访问权。分配给该组的默认权限容许对整个系统进行彻底控制。因此，只有受信任的人员才可成为该组的成员。 

Power Users，高级用户组，Power Users 能够执行除了为 Administrators 组保留的任务外的其余任何操做系统任务。分配给 Power Users 组的默认权限容许 Power Users 组的成员修改整个计算机的设置。但Power Users 不具备将本身添加到 Administrators 组的权限。在权限设置中，这个组的权限是仅次于Administrators的。 

Users:普通用户组，这个组的用户没法进行有意或无心的改动。所以，用户能够运行通过验证的应用程序，但不能够运行大多数旧版应用程序。Users 组是最安全的组，由于分配给该组的默认权限不容许成员修改操做系统的设置或用户资料。Users 组提供了一个最安全的程序运行环境。在通过 NTFS 格式化的卷上，默认安全设置旨在禁止该组的成员危及操做系统和已安装程序的完整性。用户不能修改系统注册表设置、操做系统文件或程序文件。Users 能够关闭工做站，但不能关闭服务器。Users 能够建立本地组，但只能修改本身建立的本地组。 

Guests:来宾组，按默认值，来宾跟普通Users的成员有同等访问权，但来宾账户的限制更多。 

Everyone:顾名思义，全部的用户，这个计算机上的全部用户都属于这个组。 

1.四、Windows文件夹权限
 

①彻底控制（Full Control）：
该权限容许用户对文件夹、子文件夹、文件进行全权控制，如修改资源的权限、获取资源的全部者、删除资源的权限等，拥有彻底控制权限就等于拥有了其余全部的权限；
②修改（Modify）：
该权限容许用户修改或删除资源，同时让用户拥有写入及读取和运行权限；
③读取和运行（Read & Execute）：
该权限容许用户拥有读取和列出资源目录的权限，另外也容许用户在资源中进行移动和遍历，这使得用户可以直接访问子文件夹与文件，即便用户没有权限访问这个路径；
④列出文件夹目录（List Folder Contents）：
该权限容许用户查看资源中的子文件夹与文件名称；
⑤读取（Read）：
该权限容许用户查看该文件夹中的文件以及子文件夹，也容许查看该文件夹的属性、全部者和拥有的权限等；
⑥写入（Write）：
该权限容许用户在该文件夹中建立新的文件和子文件夹，也能够改变文件夹的属性、查看文件夹的全部者和权限等。


第二节 Windows密码安全

工具1、Quarks PwDump
Quarks PwDump 是一个Win32环境下的系统受权信息导出工具，目前除此以外没有任何一款工具能够导出如此全面的信息，支持这么多的OS版本，且至关稳定。它目前能够导出 :- Local accounts NT/LM hashes + history 本机NT/LM哈希+历史登陆记录 – Domain accounts NT/LM hashes + history 域中的NT/LM哈希+历史登陆记录 – Cached domain password 缓存中的域管理密码 – Bitlocker recovery information (recovery passwords & key packages) 使用Bitlocker的恢复后遗留的信息支持的操做系统 : XP/2003/Vista/7/2008/81 / USAGE

 

使用说明：
 

[Bash shell] 纯文本查看 复制代码

?

01 02 03 04 05 06 07 08 09 10 11 12

quarks-pwdump.exe <options> Options : -dhl  --dump-hash-local -dhdc --dump-hash-domain-cached -dhd  --dump-hash-domain (NTDS_FILE must be specified) -db   --dump-bitlocker (NTDS_FILE must be specified) -nt   --ntds-file FILE -hist --with-history (optional) -t    --output-type JOHN/LC (optional, if no=>JOHN) -o    --output FILE (optional, if no=>stdout)   Example: quarks-pwdump.exe --dump-hash-domain --with-history

工具2、SAMInside

SAMInside为一款俄罗斯出品的Windows密码恢复软件，支持Windows NT/2000/XP/Vista操做系统，主要用来恢复Windows的用户登陆密码。



使用说明：
导入本地系统和文件，固然，也能够从项目文件、文件导入，注意SAM文件是系统的SAM文件，通常在C:\WINDOWS\system32\config路径下，看下图：
 

 


按快捷键“F4”，视密码复杂程度、密码长度和机器性能，有时很快就等到结果，若是时间过长，还能够暂停，保存破解状态留待下次接着运行。


工具3、Mimikatz

大神们都知道的东西吧，渗透测试经常使用工具。法国一个牛B的人写的轻量级调试器，能够帮助安全测试人员抓取Windows密码。


使用说明：

 

[Bash shell] 纯文本查看 复制代码

?

1 2 3 4

第一条：privilege::debug                 //提高权限 第二条：sekurlsa::logonpasswords               //抓取密码

首先你须要知道本身操做系统的位数
右键个人电脑属性
 

若是您的电脑是64位，则会明确标明“x64”，若是没有标明则说明您的电脑是32位的。


 

第三节 利用Hash远程登陆系统


第二节咱们获取到的Hash：

[AppleScript] 纯文本查看 复制代码

?

1	44EFCE164AB921CAAAD3B435B51404EE:32ED87BDB5FDC5E9CBA88547376818D4

打开Metasploit

[Bash shell] 纯文本查看 复制代码

?

1	use exploit/windows/smb/pse xec //没办法，请去掉中间空格，在一块儿会被屏蔽

设置一下攻击参数
 

设置Payload
 

没法利用怎么办？

本地暴力破解Hash
本地软件下载彩虹表进行暴力破解我这里就不讲解了。
给你们一个在线破解的网站，方便快捷。
http://www.objectif-securite.ch/ophcrack.php
 

小技巧：Windows2003-Shift后门

Shift后门制做

sethc.exe就是Windows的粘滞键，咱们备份一下。
 

将cmd.exe改为sethc.exe
 

在用户登陆界面连按五次shift

 

结束语

勿忘初心，方得始终。