网安学习笔记一阶段02——Windows操作系统

一、初识操作系统

1.什么是操作系统

操作系统（Operating System，简称OS）是管理和控制计算机硬件与软件资源的计算机程序，是直接运行在“裸机”上的最基本的系统软件，任何其他软件都必须在操作系统的支持下才能运行。

2.操作系统的分类

1. Windows

简介：Windows是微软公司研发的操作系统。

1. Linux

简介：Linux是一种自由和开放源代码的类Unix操作系统，由林纳斯·托瓦兹于1991年首次发布。

1. macOS

简介：macOS是由苹果公司开发的专有操作系统，运行在Macintosh系列电脑上。

二、Windows系统服务安全

1.windows安全事件

不法分子利用永恒之蓝漏洞传播勒索病毒，100多个国家和地区超过10万台电脑遭到了攻击、感染，至少150个国家、30万名用户中招，造成损失达80亿美元。

2.windows经典漏洞-MS17-010

永恒之蓝是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限，以此来控制被入侵的计算机。

3.MSF

MSF 框架（全称 Metasploit Framework）

多个模块组成，是一款网络安全领域的 “渗透测试工具箱”：Exploit（漏洞利用模块--撬开门锁的工具）、Payload（载荷模块--进门后要做的事）等

普通工具（如 nmap、nslookup）只能完成单一任务（比如扫描端口、查询域名）；

4.Windows用户与组

Windows是多用户操作系统，用户组是一系列用户的集合，组内的用户自动具备该组所设置的权限。

5.用户管理命令

#查看用户

net user

#创建普通用户

net user 用户名 密码 /add

#修改用户密码

net user 用户名 新密码

#删除用户账户

net user 用户名 /delete

#将用户添加到特定组

net localgroup 组名 用户名 /add

6.远程桌面协议(RDP)

RDP远程桌面，即远程桌面协议(Remote Desktop Protocol)，是一种由微软公司研发并内置于Windows操作系统中的网络通信协议

7.后门用户

为了后续能够随时去控制我们的电脑，可能就会留下一些后门用户

安全后门：隐藏用户

创建隐藏用户，在用户名后面加一个$符号

net user gaga$ 123456 /add

注意权限问题

安全后门：影子用户

影子用户（Shadow User）指在系统中未被正式记录或授权，但实际存在并使用资源的用户。这类用户可能通过共享账号、临时权限或未注销的测试账户等方式存在，导致安全和管理隐患。

8.怎么做账号排查？

排查普通用户和隐藏用户

用命令「net user」查看所有可见用户，删除陌生账号（命令「net user 用户名 /del」）；

打开 “计算机管理 - 用户”，查看是否有带「$」的隐藏用户，右键删除；

排查影子用户

删除注册表中的陌生用户

9.系统防御

1.及时安装安全补丁：通过 Windows Update 自动更新

2.禁用危险服务/ 协议：如SMBv1

3.防火墙端口管控

4.终端防护强化：启用 Windows Defender 或安装第三方杀毒软件，保持病毒库更新

三、第三方应用程序漏洞

1.向日葵版本漏洞

向日葵个人版for Windows <= 11.0.0.33

向日葵简约版 <= V1.0.1.43315（2021.12）

1.端口扫描

首先：搭建win7靶机和kali攻击机

然后：攻击视角端口扫描：

向日葵运行状态下会自动随机开启一个大于40000的端口

使用nmap扫描目标服务器端口（向日葵的端口范围一般在40000-65535之间）

nmap -p 40000-65535 靶机IP

2.向日葵版本漏洞利用

启动漏洞利用工具：

工具启动方式：cmd命令行

java -jar Sunlogin漏洞利用工具.jar

3.防御手段

应用更新升级

2.攻击者视角木马投放

1步：msf制作病毒

2步：搭建文件服务器（供目标机下载木马）

切换成root用户-->移动病毒到Apache服务器-->并测试访问Apache

3步：攻击机开启监听（等待目标机连接）

当win7靶机通过http://192.168.126.128/shell.exe下载病毒，并安装后。这时就会被攻击机kali监听到“Meterpreter ”

注意防范

不要点击陌生链接

不要打开陌生文件

3.排查安全隐患

1.进程排查-图形化排查

利用windows系统的图形化界面排查可疑进程

任务管理器

msinfo32

2.利用第三方工具

杀毒软件、在线平台：微步等

3.进程排查-网络连接排查

netstat -ano 查看网络连接状态、端口占用、进程关联

【主要看有无外联ip以及对应的端口查询可疑的网络连接】

4.服务排查

Win+R → 输入 services.msc → 查看服务列表，重点关注：

状态为"运行中"但未知的服务

启动类型为"自动"且无明确厂商信息的服务

恶意服务的异常路径