Windows 部分:
一:服务器Administrator用户弱口令
- 漏洞发现过程
模拟攻击者思维对服务进行黑盒测试
通过nmap扫描发现服务器开放了3389(rdp)远程桌面端口,即可使用hydra对服务器的Administrator用户进行暴力破解,若爆破成功,则证明了服务器用户存在弱口令
Nmap -sV IP
John --wordlist --rules --stdout > xxx.txt
hydra -l 用户名 -P 字典 rdp://IP -vV
- 漏洞加固过程
将服务器Administrator用户的密码修改为强密码,防止攻击者利用弱口令远程登录服务器
net user Administrator 强密码
- 漏洞加固验证过程
再次对服务器Administrator用户的密码进行暴力破解,已无法爆破出密码,加固成功
二:RDP远程代码执行漏洞(ms12-020)
- 漏洞发现过程
通过模拟攻击者思维对服务器进行黑盒测试
通过nmap扫描发现服务器开放了3389(rdp)远程桌面端口,且操作系统为Windows Server 2008 R2,为MS12-020漏洞影响范围,初步判断存在此漏洞,利用msf渗透测试平台载入ms12-020检测模块对服务器经行检测证实服务器存在此漏洞
Nmap -sV IP
Msfconsole
Search ms12-020
Use 0
Set rhost IP
Check(检测)
若提示:The target is vnlnerable,则存在漏洞
- 漏洞加固过程
禁用远程桌面,防止攻击者利用此漏洞攻击服务器导致服务器蓝屏关机
右击 此电脑 点属性,找到远程桌面(win10),远程属性(win7),关闭或勾选不允许连接到这台计算机
- 漏洞加固验证过程
再次使用msf渗透测试平台对服务器进行检测,漏洞已无法被利用,加固成功
若提示:Cannot reliably check exploitability,则加固成功
三:永恒之蓝漏洞(MS17-010)
- 漏洞发现过程
通过模拟攻击者思维对服务器进行黑盒测试
通过nmap扫描发现服务器开放了SMB协议端口(445),且服务器操作系统为Windows Server 2008 R2,为MS17-010漏洞影响范围,初步判断服务器存在漏洞,利用msf渗透测试平台载入ms17-010攻击模块对服务器进行检测,证实了服务器存在此漏洞
Nmap -sV IP
Msfconsole
Search ms17-010
Use 0
Set rhost IP
Check(检测)
若提示:The target is vnlnerable,则存在漏洞
- 漏洞加固过程
关闭Server服务,防止攻击者利用此漏洞以夺取服务器权限
Win+R
输入:services.msc:打开服务
找到Server并将启动类型改为禁用
或
关闭445端口
Win+R
输入:regedit:打开注册表
按一下顺序依次打开HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\services\NetBT\Parameters
在Parameters中新建一个跟本机位数相关的文档名为SMBDeviceEnabled,并将真值改为0,在关闭Server即可
- 漏洞加固验证过程
再次使用ms17-010渗透测试平台对载入MS17-010攻击模块对服务器进行检测,漏洞已无法被利用,加固成功
若提示:Cannot reliably check exploitability,则加固成功
四:HTTP.SYS远程代码执行漏洞(MS15-034)
- 漏洞发现过程
通过模拟攻击者思维对服务器进行黑盒测试
通过nmap扫描发现服务器开放了HTTP端口(80),版本为IIS7.5,且服务器版本为Windows Server 2008 R2,为MS15-034漏洞影响范围内,初步判断存在该漏洞,利用msf渗透测试平台对载入MS15-034攻击模块对服务器进行检测,证实了服务器存在此漏洞
Nmap -sV IP
Msfconsole
Search ms15-034
Use 0
Set rhost IP
Check
若提示:The target is vnlnerable,则存在漏洞
- 漏洞加固过程
在服务器IIS管理器中取消”启用内核缓存”选项的勾选,以禁用IIS内核缓存,防止攻击者利用此漏洞对服务器进行攻击导致服务器蓝屏关机
首先win+r输入control打开控制面板
点击程序卸载,点击 启用或关闭Windows功能
将Internet Information Servers勾选(开启IIS快捷键)
再在控制面板中点开管理工具,打开IIS,进入输出缓存,将当中的”启用内核缓存”选项关闭即可
- 漏洞加固验证过程
再次使用msf渗透测试平台载入MS15-034攻击模块对服务器进行检测,漏洞已无法被利用,则加固成功
若提示:Cannot reliably check exploitability,则加固成功
五:服务器后门用户
- 漏洞发现过程
通过查看所有用户,发现后门用户”xxx”,证实了服务器存在后门用户
进入cmd,输入net user,查看有没有 xxx 后门用户
- 漏洞加固过程
将后门用户删除,防止攻击者通过后门用户登录服务器
Net user 后门用户 /del
- 漏洞加固验证过程
- 再次查看所有用户,发现后门用户已经被删除,则加固成功
Net user