论windows系统的安全性(中篇)

本文涉及的产品
云防火墙,500元 1000GB
简介: 一、写在前面的话在上篇中介绍了win10-1709版本,对勒索病毒攻击的445端口进行了简单的渗透测试,这与微软公布的win10未受到攻击的情况相符。由于现在大众对win7的认可度和接受度较高,用户数量庞大,基于之前对win7系统成功进行渗透测试,本次会对win7以及主流杀毒软件的防护效果进行简单测试。

一、写在前面的话
在上篇中介绍了win10-1709版本,对勒索病毒攻击的445端口进行了简单的渗透测试,这与微软公布的win10未受到攻击的情况相符。由于现在大众对win7的认可度和接受度较高,用户数量庞大,基于之前对win7系统成功进行渗透测试,本次会对win7以及主流杀毒软件的防护效果进行简单测试。
二、实验测试环境
渗透机:Kali Linux-2018.2 (192.168.64.130)
靶机:windows7家庭普通版 (192.168.64.131)
windows7企业版SP1(192.168.64.132)

实验在VMware Workstation14下运行
网络配置采用NAT

image


为了保证实验系统的纯净性,排除第三方篡改导致的系统安全威胁,特下载官方镜像进行安装.
三、实验流程
  1. 在实验首先进行连通性测试,发现默认开启防火墙的情况下,依然无法ping通靶机,因此关闭防火墙进行测试
  2. 使用ms17-010扫描模块,对靶机进行扫描

    image

从截图可以发现,扫描模块发现win7 存在漏洞,而且测试工具可以获取到系统的版本信息

3.使用ms17-010渗透模块对靶机进行渗透
执行渗透

image


成功拿shell !

4.通过shell对靶机进行控制
创建控制角色账户前先查看系统现有的用户名

image


可以查看到系统只有一个名为test的管理员账号

现在通过shell创建用户名123密码123
查看用户是否创建成功

image


注销系统,测试账号是否可以使用

image

image

输入密码,可以正常登陆
但由于是标准用户,所以更改账户是有权限限制的

image


现对用户123进行提权,达到管理员权限

image


注销后重新登陆,发现用户123已经授予了管理员权限

由于家庭普通版不支持远程桌面,也无法被黑客利用,因此在安全性方面,家庭普通版较高(对,你没看错,连我自己都吓了一跳)

下面转到另一靶机
windows7企业版SP1(192.168.64.132)

image


拿shell后创建用户123,用户提权,开启远程桌面(开放3389端口)远程桌面连接win7
创建用户
将用户加入管理组
开启远程桌面(开放3389端口)
连接win7
image

成功远程连接

5.漏洞修复
创建快照利于恢复

微软官方漏洞补丁

image


发现安装完官方发布的补丁,无法扫描到漏洞,也无法拿shell。
金山毒霸

image

安装后开启安全防御,发现第一次代码执行失效,但第二次还是成功拿shell

image


依然可以执行代码并远程连接
病毒库截至目前是2018,5,02,版本
试试安装补丁与扫描看防御是否生效

image


image


并没有查杀到漏洞

image


查杀结束后测试依然未生效,依然可拿shell
重启试试,查杀是否生效
重新查杀

image


image


重新测试

image


这时不可拿shell

腾讯电脑管家

image


image


安全防护后依然可拿shell
重新体检

image


image


但是依然可拿shell

image


重新检测只发现了1.25G的电脑垃圾
重新启动系统进行测试
依然成功拿shell
电脑管家并没有弹窗提示
重新检测又发现了漏洞

image


image


重新测试
这时靶机蓝屏
靶机重启后依然可拿shell
重新扫描

image


重新进行测试,发现依然成功拿shell,只是会偶尔造成靶机蓝屏
由此可见电脑管家并不能对ms17_010永恒之蓝漏洞进行防御

360安全卫士+杀毒

image


image


结果同金山毒霸,第一次执行失效,第二次成功拿shell

image


修复系统漏洞,测试,成功拿shell
重启系统,查看补丁是否生效
依然可拿shell
偶然发现:
在重启靶机系统后发现另外问题,网卡获取IP的速度变慢,会有一段时间的叹号出现,这与我在日常负责网络维护与管理的过程中发现的情况一致,卸载360安全卫士后,网络故障恢复,在虚拟环境上在此在此验证。
四、总结
根据对系统win7家庭基础班和win7企业版两个版本进行测试后发现,最有效防止黑客进行漏洞扫描及端口扫描的方式是开启windows自带的防火墙(下面的防护方法有详细操作步骤),如果没有安装漏洞补丁,强烈推荐进入微软官网进行漏洞补丁下载安装修护或者使用windows update 进行漏洞修复,不推荐第三方杀毒软件,经过三款知名度较高的中国杀毒软件厂商的漏洞测试,发现以下几个问题
1.安装杀毒软件后无法立即生效,起到防护作用
2.利用自带的修复功能或者扫描功能多次重复,无法扫描到漏洞本身
3.即使声称修复了漏洞,但依然可以渗透成功,在电脑管家还出现了多次修复到相同漏洞的问题,而且修复后依然能拿shell,三款软件只有金山毒霸在扫描完成重启系统后阻止渗透进程,弹窗提示445端口,并能阻止黑客进程,即使在弹窗提示后关闭杀软,重启计算机,也可杀掉黑客进程。
4.为用户电脑增加负担,弹广告,捆绑软件,拖累系统,甚至会引发网络故障,蓝屏等事件。
五、防护方法
开启windows系统自带防火墙,(系统默认开启,如开启,请忽略下面步骤)
路径:控制面板windows防火墙打开或关闭防火墙启用windows防火墙

image


image


image


image


安装微软官方发布的ms17-010补丁
附上官方链接
https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010
请选择系统对应版本进行安装

转载请注明出处

目录
相关文章
|
2月前
|
安全 Windows
永久关闭 Windows 11 系统更新
永久关闭 Windows 11 系统更新
138 0
|
20天前
|
安全 Windows
【Azure Cloud Service】在Windows系统中抓取网络包 ( 不需要另外安全抓包工具)
通常,在生产环境中,为了保证系统环境的安全和纯粹,是不建议安装其它软件或排查工具(如果可以安装,也是需要走审批流程)。 本文将介绍一种,不用安装Wireshark / tcpdump 等工具,使用Windows系统自带的 netsh trace 命令来获取网络包的步骤
63 32
|
1月前
|
存储 负载均衡 Java
如何配置Windows主机MPIO多路径访问存储系统
Windows主机多路径(MPIO)是一种技术,用于在客户端计算机上配置多个路径到存储设备,以提高数据访问的可靠性和性能。本文以Windows2012 R2版本为例介绍如何在客户端主机和存储系统配置多路径访问。
83 13
如何配置Windows主机MPIO多路径访问存储系统
|
2月前
|
Windows
Windows系统命令dir使用详解
Windows系统命令dir使用详解
139 2
|
3月前
|
Linux Windows
Windows系统批量创建文件夹的技巧
Windows系统批量创建文件夹的技巧
102 1
|
2月前
|
Windows
.NET 隐藏/自定义windows系统光标
【10月更文挑战第20天】在.NET中,可以使用`Cursor`类来控制光标。要隐藏光标,可将光标设置为`Cursors.None`。此外,还可以通过从文件或资源加载自定义光标来更改光标的样式。例如,在表单加载时设置`this.Cursor = Cursors.None`隐藏光标,或使用`Cursor.FromFile`方法加载自定义光标文件,也可以将光标文件添加到项目资源中并通过资源管理器加载。这些方法适用于整个表单或特定控件。
|
2月前
|
Apache 数据中心 Windows
将网站迁移到阿里云Windows系统云服务器,访问该站点提示连接被拒绝,如何处理?
将网站迁移到阿里云Windows系统云服务器,访问该站点提示连接被拒绝,如何处理?
|
2月前
|
域名解析 缓存 网络协议
Windows系统云服务器自定义域名解析导致网站无法访问怎么解决?
Windows系统云服务器自定义域名解析导致网站无法访问怎么解决?
|
2月前
|
运维 网络安全 虚拟化
Windows系统镜像检测修复建议
Windows系统镜像检测修复建议
|
2月前
|
Windows
安装Windows XP系统
安装Windows XP系统