windows 常用用户:
- SYSTEM:本地机器上拥有最高权限的用户。(为系统核心组件访问文件资源提供权限)Administrator:默认系统管理员用户。
- Guest:只拥有相对较少的权限,默认被禁用。
-
Windows 常见用户组
-
Administrators,管理员组,默认情况下,Administrators中的用户对计算机/域有不受限制的完全访问权。分配给该组的默认权限允许对整个系统进行完全控制。
-
Power Users,高级用户组,Power Users 可以执行除了为 Administrators 组保留的任务外的其他任何操作系统任务。
Users:普通用户组,这个组的用户无法进行有意或无意的改动。因此,用户可以运行经过验证的应用程序,但不可以运行大多数旧版应用程序。
Guests:来宾组,按默认值,来宾跟普通Users的成员有同等访问权,但来宾帐户的限制更多。
Everyone:顾名思义,所有的用户,这个计算机上的所有用户都属于这个组。
-
Windows 目录
-
系统目录:
-
All Users目录:此子目录下是电脑的所有用户及这些用户个人设定的开始菜单及桌面等信息;Command目录:这个目录下放置了微软的DOS下的常用命令,如chkdsk,format, fdisk等常用的命令;
-
Config目录:它是用来存放Windows中的硬件配置文件;
-
Desktop目录:系统图标以及由应用程序和文档建立的桌面快捷方式都存放在这里,这里的图标文件与桌面上的图标动态关联着;
-
Downloaded Program Files目录:如果你经常上网下载东西,此目录成为你下载软件的默认目录;
-
System32目录:与sytem目录都是系统文件夹,存放着Windows的系统文件和硬件驱动程序等重要信息;
-
Web目录:存放一些与web相关的图片文件等。
-
windows\System32\config\SAM #存放windows账号密码的文件(重要)
(渗透思路:PE进去,拷贝SAM文件,清除,再进系统就不需要密码了,开始渗透;最后再替换出来。)
windows\System32\drivers\etc\hosts #文件,解析域名的(重要)
-
perlog目录:日志文件 (计算机管理->事件查看器->windows日志 或者 可使用分析日志的程序)
Program Files目录:这个里面存放着一些软件的配置信息。比如数据库连接的信息,下载的软件的信息。
-
Windows 文件夹权限
-
①完全控制(Full Control): 该权限允许用户对文件夹、子文件夹、文件进行全权控制,如修改资源的权限、获取资源的所有者、删除资源的权限等;
②修改(Modify): 该权限允许用户修改或删除资源,同时让用户拥有写入及读取和运行权限;
③读取和运行(Read & Execute): 该权限允许用户拥有读取和列出资源目录的权限,另外也允许用户在资源中进行移动和遍历,这使得用户能够直接访问子文件夹与文件,即使用户没有权限访问这个路径;
④列出文件夹目录(List Folder Contents): 该权限允许用户查看资源中的子文件夹与文件名称;
⑤读取(Read): 该权限允许用户查看该文件夹中的文件以及子文件夹,也允许查看该文件夹的属性、所有者和拥有的权限等;
⑥写入(Write): 该权限允许用户在该文件夹中创建新的文件和子文件夹,也可以改变文件夹的属性、查看文件夹的所有者和权限等。
-
Windows 服务(端口区分服务)
-
服务 :服务是一种应用程序类型,它在后台运行。服务应用程序通常可以在本地和通过网络为用户提供一些功能,例如客户端/服务器应用程序、Web服务器、数据库服务器以及其他基于服务器的应用程序。(服务其实就是定义了计算机的一些功能。)
-
打开服务:Win+R打开运行,输入services.msc回车打开
服务的作用:
1. 服务决定了计算机一些功能是否被启用
2. 不同的服务对应的功能不同
3. 通过计算机提供的服务可以有效实现资源共享
-
Windows中常见的服务:
u web服务u dns服务(提供域名解析)u dhcp服务(给客户机发送一个可用的IP)u 邮件服务u telnet服务u ssh服务(一个命令行,一般用于linux的命令控制,远程终端)u ftp服务smb服务(文件共享服务)
-
Windows 端口
-
端口的分类:
1.按端口号分布划分
u 知名端口,0到1023,这些端口号一般固定分配给一些服务u 动态端口,1024到65535,这些端口号一般不固定分配给某个服务,也就是说许多服务都可以使用这些端口。动态端口也常常被病毒木马程序所利用。 -
2.按协议类型划分:主要可以分为TCP,UDP,IP,CMP(Internet控制消息协议)等端口。
TCP端口,即传输控制协议端口,需要在客户端和服务器之间建立连接,这样可以提供可靠的数据传输。如Telnet服务的23端口,SMTP服务的25端口,HTTP服务的80端口等。UDP端口,即用户数据包协议端口,无需在客户端和服务器之间建立连接,安全性得不到保障。如DNS服务的53端口,SNMP(简单网络管理协议)服务的161端口,QQ使用的8000和4000端口等等。
-
常见的端口
-
-
黑客可以通过端口干什么?
-
信息收集
-
目标探测
-
服务判断系统判断
-
系统角色分析
-
Windows 进程
-
windows中进程包括系统进程和程序进程,可以通过任务管理器查看,用户名为system的是系统进程。
-
常见进程含义:
-
conime.exe:与输入法编辑器有关的系统进程,能够确保正常调整和编辑系统中的输入法csrss.exe:该进程是微软客户端/服务端运行时子系统,该进行管理windows图形相关任务ctfmon.exe:该进程与输入法有关,该进程的正常运行能够确保语言栏能正常显示在任务栏中explorer.exe:该进程是windows资源管理器,可以说是windows图形界面外壳程序,该进程的正常运行能够确保在桌面上显示桌面图标和任务栏lsass.exe:该进行用于windows操作系统的安全机制、本地安全和登录策略services.exe:该进程用于启动和停止系统中的服务,如果用户手动终止该进程,系统也会重新启动该进程smss.exe:该进程用于调用对话管理子系统,负责用户与操作系统的对话svchost.exe:该进程是从动态链接库(DLL)中运行的服务的通用主机进程名称,如果用户手动终止该进程,系统也会重新启动该进程system:该进程是windows页面内存管理进程,它能够确保系统的正常启动system idle process:该进行的功能是在CPU空闲时发出一个命令,使CPU挂起,从而有效降低CPU内核的温度winlogon.exe:该进程是Windows NT用户登录程序,主要用于管理用户登录和退出。
-
Windows 注册表
打开方式:win+r:-->regedit
注册表结构:
HKEY_CLASSES_ROOT:管理文件系统。
HKEY_CURRENT_USER:管理系统当前用户信息。
HKEY_LOCAL_MACHINE:常用。管理当前系统硬件配置。
HKEY_USERS:管理系统的用户信息。
HKEY_CURRENT_CONFIG:管理当前用户的系统配置。
黑客常用DOS命令
#系统信息
- CHCP 65001 修改字体编码为UTF-8
- systeminfo 查看系统信息
- hostname 查看主机名
- SET 查看环境变量
- color 改变cmd颜色
- cls 清除屏幕
- runas /user:administrator cmd 切换管理员
#网络
- ipconfig /all 显示完整网络信息
- ping -t -l 65500 ip 死亡之ping
- ipconfig /release 释放ip
- ipconfig /renew 重新获得ip
- ipconfig /flushdns 刷新DNS缓存
- ipconfig /displaydns 显示DNS解析程序缓存的内容
- route print 打印路由信息
- arp -a 查看arp缓存
- net view 查看局域网内其他计算机名称
- netsh firewall show state 防火墙状态
- netsh firewall show config 防火墙规则
#用户
- net config workstation 查看当前登陆用户
- whoami 查看我是哪个用户
- net user 查看有哪些用户
- net user supermage 查看用户supermage的信息
- net localgroup 查看组
- net localgroup administrators 查看组administrators的信息
- net user hack 123 /add 新建一个用户hack,密码为123
- net user hack$ 123 /add 新建一个隐藏hack用户,密码为123
- net user hack /del 删除用户hack
- net localgroup administrators hack /add 将普通用户hack提权到管理员
- net user guest /active:yes 激活guest用户
- net user guest /active:no 关闭guest用户
- net password 密码 更改系统当前登录用户密码
- net user guest 密码 更改guest用户密码
#端口进程服务
- tasklist 查看进程
- tasklist /svc 查看进程,显示进程使用者名称
- netstat -ano 查看系统开放端口
- netstat -ano|findstr 80 查看80端口对应的PID
- tasklist | findstr 80 查看80端口对应的进程
- taskkill /f /t /im xx.exe 杀死xx.exe进程
- taskkill /F -pid 520 杀死pid为520的进程
- net start 查看开启了哪些服务
- net start telnet 开启telnet服务
- net stop telnet 停止 telnet服务
- start www.baidu.com 打开网址
#共享
- net use 查看连接
- net share 查看本地开启的共享
- net share ipc$ 开启ipc$共享
- net share ipc$ /del 删除ipc$共享
- net share c$ /del 删除C盘共享
- net use \\192.168.10.15\ipc$ /u:"" "" 与192.168.10.15建立ipc空连接
- net use \\192.168.10.15 /u:"" "" 与192.168.10.15建立ipc空连接,可以吧ipc$去掉
- net use \\192.168.10.15 /u:"administrator" "root" 以administrator身份与192.168.10.15建立ipc连接
- net use \\192.168.10.15 /del 删除ipc连接
- net use \\192.168.10.15\c$ /u:"administrator" "root" 建立C盘共享
- dir \\192.168.10.15\c$ 查看192.168.10.15C盘文件
- dir \\192.168.10.15\c$\user 查看192.168.10.15C盘文件下的user目录
- dir \\192.168.10.15\c$\user\test.exe 查看192.168.10.15C盘文件下的user目录下的test.exe文件
- net use \\192.168.10.15\c$ /del 删除该C盘共享连接
- net use k: \\192.168.10.15\c$ /u:"administrator" "root" 将目标C盘映射到本地K盘
- net use k: /del 删除该映射
#文件操作
- echo hello,word > 1.txt 向1.txt中写入 hello,word
- echo hello,word >>1.txt 向1.txt中追加 hello,word
- del 删除一个文件
- deltree 删除文件夹和它下面的所有子文件夹还有文件
- ren 1.txt 2.txt 将 1.txt 重命名为 2.txt
- type 1.txt 查看1.txt文件的内容
- md 创建一个文件夹
- rd 删除一个文件夹
- move 1.txt d:/ 将1.txt文件移动到d盘下
- 123.txt edit 打开123.txt文件(可编辑)
- dir c:\ 查看C盘下的文件
- dir c:\ /A 查看C盘下的所有文件,包括隐藏文件
- dir c:\ /S 查看C盘下和其子文件夹下的文件
- dir c:\ /B 只显示C盘下的文件名
- shutdown -s -t 60 -c “你的电脑被黑了” -s关机 -r重启 -a取消
windows操作系统快捷键
系统优化
修改启动项:开始菜单在搜素程序框中输入”msconfig“命令,打开系统配置窗口后找到”启动“选项加快系统启动速度:开始菜单在搜素程序框中输入”msconfig“命令,打开系统配置窗口后找到”引导“选项(英文系统是Boot)点击”高级选项“此时就可以看到我们将要修改的设置项了
提高窗口切换速度:右击计算机属性—性能信息和工具—调整视觉效果 先点击让windows选择计算机的最佳设置—再点击自定义—把最后一个选项的勾去掉—确定
-
-
