一、初识操作系统1.什么是操作系统操作系统Operating System简称OS是管理和控制计算机硬件与软件资源的计算机程序是直接运行在“裸机”上的最基本的系统软件任何其他软件都必须在操作系统的支持下才能运行。2.操作系统的分类Windows简介Windows是微软公司研发的操作系统。Linux简介Linux是一种自由和开放源代码的类Unix操作系统由林纳斯·托瓦兹于1991年首次发布。macOS简介macOS是由苹果公司开发的专有操作系统运行在Macintosh系列电脑上。二、Windows系统服务安全1.windows安全事件不法分子利用永恒之蓝漏洞传播勒索病毒100多个国家和地区超过10万台电脑遭到了攻击、感染至少150个国家、30万名用户中招造成损失达80亿美元。2.windows经典漏洞-MS17-010永恒之蓝是一种利用Windows系统的SMB协议漏洞来获取系统的最高权限以此来控制被入侵的计算机。3.MSFMSF 框架全称 Metasploit Framework多个模块组成是一款网络安全领域的 “渗透测试工具箱”Exploit漏洞利用模块--撬开门锁的工具、Payload载荷模块--进门后要做的事等普通工具如 nmap、nslookup只能完成单一任务比如扫描端口、查询域名4.Windows用户与组Windows是多用户操作系统用户组是一系列用户的集合组内的用户自动具备该组所设置的权限。5.用户管理命令#查看用户net user#创建普通用户net user 用户名 密码 /add#修改用户密码net user 用户名 新密码#删除用户账户net user 用户名 /delete#将用户添加到特定组net localgroup 组名 用户名 /add6.远程桌面协议(RDP)RDP远程桌面即远程桌面协议(Remote Desktop Protocol)是一种由微软公司研发并内置于Windows操作系统中的网络通信协议7.后门用户为了后续能够随时去控制我们的电脑可能就会留下一些后门用户安全后门隐藏用户创建隐藏用户在用户名后面加一个$符号net user gaga$ 123456 /add注意权限问题安全后门影子用户影子用户Shadow User指在系统中未被正式记录或授权但实际存在并使用资源的用户。这类用户可能通过共享账号、临时权限或未注销的测试账户等方式存在导致安全和管理隐患。8.怎么做账号排查排查普通用户和隐藏用户用命令「net user」查看所有可见用户删除陌生账号命令「net user 用户名 /del」打开 “计算机管理 - 用户”查看是否有带「$」的隐藏用户右键删除排查影子用户删除注册表中的陌生用户9.系统防御1.及时安装安全补丁通过 Windows Update 自动更新2.禁用危险服务/ 协议如SMBv13.防火墙端口管控4.终端防护强化启用 Windows Defender 或安装第三方杀毒软件保持病毒库更新三、第三方应用程序漏洞1.向日葵版本漏洞向日葵个人版for Windows 11.0.0.33向日葵简约版 V1.0.1.433152021.121.端口扫描首先搭建win7靶机和kali攻击机然后攻击视角端口扫描向日葵运行状态下会自动随机开启一个大于40000的端口使用nmap扫描目标服务器端口向日葵的端口范围一般在40000-65535之间nmap -p 40000-65535 靶机IP2.向日葵版本漏洞利用启动漏洞利用工具工具启动方式cmd命令行java -jar Sunlogin漏洞利用工具.jar3.防御手段应用更新升级2.攻击者视角木马投放1步msf制作病毒2步搭建文件服务器供目标机下载木马切换成root用户--移动病毒到Apache服务器--并测试访问Apache3步攻击机开启监听等待目标机连接当win7靶机通过http://192.168.126.128/shell.exe下载病毒并安装后。这时就会被攻击机kali监听到“Meterpreter ”注意防范不要点击陌生链接不要打开陌生文件3.排查安全隐患1.进程排查-图形化排查利用windows系统的图形化界面排查可疑进程任务管理器msinfo322.利用第三方工具杀毒软件、在线平台微步等3.进程排查-网络连接排查netstat -ano 查看网络连接状态、端口占用、进程关联【主要看有无外联ip以及对应的端口查询可疑的网络连接】4.服务排查WinR → 输入 services.msc → 查看服务列表重点关注状态为运行中但未知的服务启动类型为自动且无明确厂商信息的服务恶意服务的异常路径