經(jīng)編輯:盧祥勇2009年�����,Windows 7(以下簡稱Win7)正式發(fā)布����,因其對硬件配置的要求并不高�,成為當(dāng)時眾多主流機型的選擇。一晃眼,十年過去了����。
2020年1月14日���,Win7將正式退出歷史舞臺�����,微軟會從這一天起停止對該系統(tǒng)的維護服務(wù)。微軟在今年3月就正式宣布了這個消息,給足了用戶考慮和選擇的時間����。
�����、
微軟表示,用戶仍可以繼續(xù)使用運行Win7的電腦,但如果沒有持續(xù)軟件和安全更新,電腦遭受病毒和惡意軟件攻擊的風(fēng)險會更大。
事實上��,微軟此舉旨在讓更多的用戶轉(zhuǎn)投Windows 10(簡稱Win10)����。
丨Win7還能用,就是不再提供支持
近日�,微軟宣布��,將于2020年1月14日起停止對Windows 7的支持��,并建議用戶更新至Windows 10系統(tǒng)�����。
在官網(wǎng)一則簡短的聲明中,微軟稱:“2020年1月14日之后���,微軟將不再為安裝Windows 7的電腦提供安全升級或支持。立即升級到Windows 10����,以保持您的員工的生產(chǎn)力和安全��。”
對Win7終止支持后���,你的電腦還可以繼續(xù)工作,但是將不再提供以下內(nèi)容:
任何問題的技術(shù)支持����;
軟件更新���;
安全更新或修復(fù)����。
微軟稱,如果沒有持續(xù)軟件和安全更新�,電腦遭受病毒和惡意軟件攻擊的風(fēng)險會更大�����。從目前開始,保持安全的最好方式是采用Win10�。雖然可以在舊設(shè)備上安裝Wind10���,但這不是建議做法。使用新電腦是體驗Wind10的最好方式����。
圖片來源:微軟官網(wǎng)
當(dāng)前用戶如果想要安全地沿用Win7�����,就需要付費購買安全補丁,專業(yè)版每臺設(shè)備收費50美元(約350元人民幣)�����,企業(yè)和機構(gòu)用戶可延期三年�,補丁價格會逐年遞增。
市場調(diào)研機構(gòu)NetMarketShare發(fā)布的11月數(shù)據(jù)顯示�,目前全球Win10市場份額為53.33%�,而Wind7則為26.86%���。甚至一些用戶仍在使用年邁的Windows XP操作系統(tǒng)(市場份額1.85%)����。
圖片來源:NetMarketShare
Win10系統(tǒng)在2015年7月29日正式上市,在2018年12月����,Win10的市場份額才達到39.22%�,第一次超過當(dāng)時占據(jù)36.9%的Win7���,這時距離Win10發(fā)布已經(jīng)過去了三年多��。
丨Win10系統(tǒng)吐槽多
Windows 7是Windows系統(tǒng)中口碑比較好的一個版本����。雖然微軟早早就在鼓勵用戶升級至Windows 10系統(tǒng)��,但仍然有大量消費者以“難用”為由拒絕升級。
Windows 7的前任版本是Windows Vista��,是微軟改動最大的Windows系統(tǒng)之一��,它奠定了后續(xù)Windows系統(tǒng)的基礎(chǔ)���。然而由于開發(fā)日程緊張���,Vista在2006年底上市后出現(xiàn)了大量問題����。3年后的Windows 7著重改進了Vista出現(xiàn)問題的地方�,以穩(wěn)定和流暢的系統(tǒng)挽回了消費者的心。
在外界看來,Win10尚未完全替代Win7主要因為自身的各種Bug,例如其自動更新次數(shù)頻繁�����,且更新還可導(dǎo)致閃存文件丟失等一系列問題�����。在Win10今年十一月更新的版本中��,用戶搜索文件會致使文件瀏覽器的搜索欄無響應(yīng),并且無法在搜索窗格中右鍵單擊,這引起了許多人的抱怨。
總而言之,Win10系統(tǒng)的穩(wěn)定性仍是用戶長期詬病的對象���,在圖像顯示和硬件配置等方面的兼容性也有待提升。
今年一月,微軟發(fā)布消息稱����,已經(jīng)對4.1萬款軟件進行測試�,win10不兼容的軟件僅有49款,換言之在微軟給出的數(shù)據(jù)中只有0.1%的軟件與win10存在兼容性問題�。但這并不代表win7的忠實用戶會買win10的帳���。
在國內(nèi),桌面電腦操作系統(tǒng)還是Win7的天下。百度統(tǒng)計流量研究院的最新數(shù)據(jù)顯示,Win7仍然占據(jù)了58.5%的份額����,接近6成市場��,Win10系統(tǒng)份額為21.68%。其次是XP系統(tǒng),份額為6.73%���。
圖片來源:百度統(tǒng)計流量研究院
值得注意的是,Wind7上市的2009年,智能手機的潮流已經(jīng)到來�,世界也開始了從傳統(tǒng)互聯(lián)網(wǎng)向移動互聯(lián)網(wǎng)的時代轉(zhuǎn)型����,移動設(shè)備系統(tǒng)成為了iOS和安卓的天下�����。Wind10中����,可以看到微軟讓W(xué)indows操作系統(tǒng)兼容桌面端和移動端的努力����,不過在移動領(lǐng)域,微軟依舊任重道遠�。
(每日經(jīng)濟新聞綜合自澎湃新聞���、界面新聞等)
每日經(jīng)濟新聞
們在使用windows系統(tǒng)時經(jīng)常會遇到如下彈窗提醒:
這是用戶帳戶控制在保護我們的電腦�,那什么是用戶帳戶控制呢����?它有什么作用?如何關(guān)閉用戶帳戶控制呢?
用戶賬戶控制�,User Account Control (UAC) ���,可以防止惡意軟件靜默安裝和破壞我們的電腦,也可以防止我們無意間對系統(tǒng)設(shè)置所做的更改�。在UAC模式下�,程序和任務(wù)總是以非管理員權(quán)限運行���,需要管理員權(quán)限的操作時則彈窗提醒��,需要用戶主動授權(quán)�。
UAC允許所有用戶以普通用戶權(quán)限登陸系統(tǒng)����,所有進程使用普通用戶權(quán)限執(zhí)行任務(wù),如果程序需要管理員權(quán)限����,UAC允許用戶臨時為此程序提升管理員權(quán)限�����,其它程序仍保持普通用戶權(quán)限運行。
作者:daiker@360RedTeam
0x00 前言
這篇文章主要介紹AD里面的域用戶�,計算機用戶���。
0x01 域用戶
1. 查詢域用戶
當(dāng)我們擁有一個域用戶的時候�����,想要枚舉域內(nèi)的所有用戶,主要有兩個方法���。
(1) 通過SAMR 協(xié)議查詢
samr 也不算是一種專門的協(xié)議,就是一個RPC接口(這里簡單地提一下�����。后面在RPC篇里面詳細介紹這個RPC接口)
我們平時使用的net user /domain就是使用samr 進行查詢的���。
在impacket 里面有一個腳本samrdump.py就是專門調(diào)用samr 去查詢域用戶的����。
(2) 通過Ldap 語法查詢
域用戶存儲于活動目錄數(shù)據(jù)庫里面,對其他用戶可見�����?�?梢酝ㄟ^Ldap 去查詢�����。
過濾語法如下
(&(objectCategory=person)(objectClass=user))
2. 域用戶部分屬性介紹
這些屬性在LDAP 里面都可以查看
(1)姓對應(yīng)的屬性就是sn
(2) 名對應(yīng)的屬性是giveName
(3)展示名,對應(yīng)的屬性是displayName����。
值得注意的是����,displayName不能用于登陸���,雖然跟域用戶名往往一樣����。但是這個不是直接用于登陸的我們登陸用的賬號,在一些公司里面�,displayName往往是中文����,登陸的用戶名是拼音����。登陸的格式有以下兩種格式��。
(4)第一種格式是UserPrincipalName���,我們簡稱為UPN���,一般的格式是用戶名@域名這樣的格式�����。
比如這里就是lisi@test.local
(5) 第二種格式是域名\sAMAccountName這種格式
比如這里就是test.local\lisi,這里的域名可以是netbios名�,也可以是dns 名���。
- ● 用戶相關(guān)的一些時間· whenCreated· pwdLastSet· Lastlogon看名字就可以大約猜出這些字段的含義了��。賬號創(chuàng)建時間,設(shè)置密碼時間,上次登錄時間�,這些屬性任意域用戶都可以看的到�。只是這個并不直觀����,adfind 提供了轉(zhuǎn)化。這樣更直觀一點值得注意的是Lastlogon這個屬性值在不同的域控制器上是不會同步的。所以要查詢一個用戶的最后登錄時間�,得指定不同的域控制器來查詢���。
- ● userAccountControl
在上一篇��,講位操作的時候有簡單提及到這個userAccountControl,其實這個屬性至關(guān)重要。在整個系列文章里面反復(fù)提及。userAccountControl對應(yīng)的位如下�����。
我們可以利用ldap的位操作(關(guān)于Ldap的位操作見Windows內(nèi)網(wǎng)協(xié)議學(xué)習(xí)LDAP篇之組和OU介紹)來一個個過濾���。
比如��,我們想查詢查詢密碼永不過期的用戶。
又比如��,我們想查詢設(shè)置了約束委派的用戶����。
又比如���,我們想查詢域內(nèi)設(shè)置了對委派敏感的用戶�����。
等等等。大家可以查表,然后更改對應(yīng)的十進制值來過濾。
0x02 機器用戶
默認情況底下���,加入域的機器默認在CN=Computer這個容器里面���,域控默認在Domain Controllers這個OU里面�����。有些域內(nèi)會通過redircmp進行修改
1. 機器用戶跟system 用戶的關(guān)系
考慮到這樣一個場景,如果拿到一臺域內(nèi)機器,然后發(fā)現(xiàn)沒有域內(nèi)用戶。 這個時候有很多人用mimikatz 抓一下���,沒抓到域用戶,就束手無策了�。
我們隨便點開一臺Domain Computer���,這里以WIN7這臺機子做為測試。
我們看他的對象類�����。
發(fā)現(xiàn)他是computer 類的實例�����。
而computer 類的user 類的子類����。域用戶是user類的實例���。之前我們說過類是屬性的集合��。子類繼承了父類的所有屬性���,因此域用戶該有的屬性�����,計算用戶都有,甚至我們可以說�����,機器用戶就是一種域用戶����。
那回到之前的那個問題,如果拿到一臺域內(nèi)機器�,然后發(fā)現(xiàn)沒有域內(nèi)用戶的情況���。我們上面說了,機器用戶其實就是一個域用戶,那我們怎么使用這個機器用戶呢�����。其實本地用戶SYSTEM就對應(yīng)于域內(nèi)的機器用戶�,在域內(nèi)的用戶名就是機器名+$,比如win7,他的機器名是WIN7,那他在域內(nèi)的登錄名就是win7$,關(guān)于sAMAccountName我們在上一小節(jié)已經(jīng)講了����。
所以我們可以將當(dāng)前用戶提到system(非管理員需要配合提權(quán)漏洞�����,管理員組的非administrators需要bypassuac���,administrator提到system����。這個網(wǎng)上有很多方法�����,psexec����,mimikatz等等)��。就可以在域內(nèi)充當(dāng)機器用戶了����。
或者直接抓hash 也是一樣的��。
2. 查找域內(nèi)的所有機器
可以通過objectclass=Computer或者objectcategory=Computer查找域內(nèi)的所有機器
adfind 對查詢計算機,提供了一些快捷方式。
域內(nèi)的域控都在Domain Controller這個OU底下���,可以通過查看這個OU里面的機器來找到域內(nèi)的所有域控。
adfind 對查詢域控�,也提供了一些快捷方式�。
0x03 域用戶賬戶與機器用戶的對應(yīng)關(guān)系
1. 域用戶默認能登錄域內(nèi)的任何一臺普通機器
如果我們是自己搭建過域環(huán)境的話����,應(yīng)該會知道,默認情況底下,域用戶是能夠登錄域內(nèi)的任何一臺機器用戶的���。我們在這里面探究一下原因。
在域成員機器的本地安全策略里面,默認情況底下,本地用戶組允許本地登錄。其中包括Users組。
其中Users組包括Domain Users�。
而域內(nèi)用戶默認都在Domain Users組里面�����。
因為域用戶默認都在Domain Users組里面,而Domain Users在Users組里面。默認情況底下Users組內(nèi)的成員允許本地登錄。所以域內(nèi)成員默認都能登錄域內(nèi)任何一臺機器�����。
對于這種情況����,很多域內(nèi)都沒有解決這個問題。而有些域內(nèi)運維意識到這個問題。一般會有這兩種修改方案�。
(1) 在域用戶這邊做限制
設(shè)置域用戶只允許登錄到某臺機器�����。
(2) 在機器這邊做限制
這個可以通過下發(fā)組策略實現(xiàn)。
因為一般都會把常登陸這臺機器的域用戶加入到Administrators組里面����。不允許User組里面用戶本地登錄���。把下圖的Users刪除掉。這樣登陸這臺機器的域用戶�����,因為在Administrators組里面�����,也可以登錄����。而其他域用戶也不能登錄����。
2. 查看域用戶能夠登錄的主機
域用戶默認能本地登錄域內(nèi)的任何一臺主機。為了緩解這個問題����。上一小節(jié)我們提出了兩種解決方案����。也會帶來新的問題。我們可以根據(jù)這個找到域用戶能夠登錄的主機����。限制了域用戶只能登錄到某臺主機之后�����,在LDAP里面,會設(shè)置一個字段,userWorkStation。這個字段保存了這個域用戶只能登錄到某臺機器�。而這個字段對于域內(nèi)任何用戶都是可讀的��,我們可以通過讀域用戶的userWorkStation來查看域用戶限制登錄到那一臺機子�����。那個用戶也就能夠登錄那臺機子����。
3. 查看域用戶正在登陸的主機
當(dāng)我們想尋找一個域用戶正在登陸的主機的情況下���,主要有以下幾種方式
- 檢查遠程機器注冊表項里HKEY_USERS來查詢誰正在登陸機器比如我們遠程登錄SERVER12的注冊表����,看到HKEY_USERS底下的key有S-1-5-21-1909611416-240434215-3714836602-1113,將S-1-5-21-1909611416-240434215-3714836602-1113這個sid轉(zhuǎn)化為用戶名是TEST\maria�,就可以看到用戶TEST\maria當(dāng)前正在SERVER12這臺機器上登錄��。遠程查看注冊表項這個操作可以通過API實現(xiàn),我們可以遍歷域內(nèi)所有機器���,查詢機器正在登陸的用戶。值得注意的有:(1) 默認PC機器���,是沒有開啟注冊表遠程連接的。Server 機器����,默認開啟遠程連接����。(2) 域內(nèi)任何用戶���,即使配置了�,不能本地登錄域內(nèi)機器A,但是只要域內(nèi)機器A開啟遠程注冊表連接��,我們就可以連接上機器A的注冊表���,從而枚舉正在登陸的用戶
- 利用 NetSessionEnum 來尋找登陸的網(wǎng)絡(luò)會話�。一個win32 API�,關(guān)于這個API的細節(jié)可以看官方文檔NetSessionEnum function。NET_API_STATUS NET_API_FUNCTION NetSessionEnum( LMSTR servername, LMSTR UncClientName, LMSTR username, DWORD level, LPBYTE *bufptr, DWORD prefmaxlen, LPDWORD entriesread, LPDWORD totalentries, LPDWORD resume_handle );這個API 的第一個參數(shù)servername ,可以指定一個遠程的機器A����,會去調(diào)用遠程機器A的RPC�。然后返回其他用戶在訪問機器A的網(wǎng)絡(luò)資源(例如文件共享)時所創(chuàng)建的網(wǎng)絡(luò)會話��,可以看到這個用戶來自何處����。比如我們訪問DC2016�����,會看到kangkang和jane 正在連接DC2016�,而kangkang來自172.16.103.131,jane來自172.16.103.128值得注意的有:(1) 我們指定了servername 為機器A����,并不能查詢誰誰登陸了機器A,但是可以看到訪問機器A的網(wǎng)絡(luò)資源(例如文件共享)時所創(chuàng)建的網(wǎng)絡(luò)會話。這個網(wǎng)絡(luò)會話可以看到哪個域用戶來自哪個IP���,比如kangkang來自172.16.103.131,所以我們一般指定servername為域控或者文件共享服務(wù)器����。(2) 調(diào)用此函數(shù)的用戶���,指定了servername 為機器A��,并不需要在機器A 上有管理員權(quán)限�����。所以域內(nèi)任何用戶都可以調(diào)用此函數(shù)�����,指定了servername 為域控�����。
- 利用NetWkstaUserEnum列出當(dāng)前登錄到該機器的所有用戶的信息同樣的,這也是一個WIN32 API,關(guān)于這個API的細節(jié)可以看官方文檔NetWkstaUserEnum functionNET_API_STATUS NET_API_FUNCTION NetWkstaUserEnum( LMSTR servername, IN DWORD level, LPBYTE *bufptr, IN DWORD prefmaxlen, LPDWORD entriesread, LPDWORD totalentries, LPDWORD resumehandle );這個API 的第一個參數(shù)servername 可以指定一個遠程的機器A�����,會去調(diào)用遠程機器A的RPC���。然后返回當(dāng)前登錄到機器A的所有用戶的信息.值得注意的是����,調(diào)用該函數(shù)的用戶需要具備機器A的本地管理員權(quán)限。
有一些現(xiàn)有的工具用來枚舉正在登陸某臺機子的用戶(一般稱為枚舉會話),其實本質(zhì)上還是利用我們上面說的方法��。這里舉例幾個
(1) psloggedon.exe
(2) netsess.exe
(3) PVEFindADUser.exe
(4) hunter.exe
4. 查看域用戶登錄過的主機
- 通過查看outlook的郵件頭當(dāng)用戶a 在公司內(nèi)部使用outlook 給你發(fā)一封郵件的時候�����,我們可以在改郵件的頭部看到用戶a的內(nèi)網(wǎng)IP
- 導(dǎo)出DC日志�����。
這個要求我們有域控權(quán)限,比如說我們在拿到域控之后想找到域內(nèi)某個用戶的主機。
域內(nèi)用戶A在機器B正常登錄的時候��,由于本地沒有域用戶A的hash���。機器B會去域控那邊做驗證���,登錄成功的話��,在域控那邊,會有個4624的日志����,登錄類型為3�。
值得注意的是�����,在域內(nèi)可能存在多臺域控�����,日志并不同步,請將每一臺域控的日志都導(dǎo)出來�����。導(dǎo)出日志和查看日志有很多方式��,這里提供一個實現(xiàn)���。
導(dǎo)出日志����,wevtutil是自帶的
wevtutil epl Security C:\Users\Administrator\Desktop.evtx /q:“*[System[(EventID=4624)] and EventData[Data[@Name=‘LogonType’]=‘3’]]” //導(dǎo)出日志
將日志拷貝到我們的電腦.使用LogParser開始提取日志
LogParser.exe -i:EVT -o:CSV "SELECT TO_UPPERCASE(EXTRACT_TOKEN(Strings,5,'|')) as USERNAME,TO_UPPERCASE(EXTRACT_TOKEN(Strings,18,'|')) as SOURCE_IP FROM 1.evtx" >log.csv // 提取日志
原文鏈接:https://www.anquanke.com/post/id/196510
