搜索公众号：暗网黑客

可领全套网络安全课程、配套攻防靶场

所以，凭什么说我的主机被入侵了呢？

0×01 红队渗透流程

知攻击才能懂防守，以作为攻击方的红队视角：

作为攻击者，当你拿到主机的一般用户权限后你会做什么？

那当然是收集信息，然后尽可能的获得更高的权限了

攻击手段有千万种，往往脱离不了以下规则：

先梳理一下渗透测试中常见的一些姿势：

那么以上流程，在蓝队的视角里就是如下情况：

收集信息：

提权：

权限维持：

横向渗透：

后渗透

0×02 蓝队排查流程

作为蓝队，应该以怎样的思路判断自己的主机已经沦陷了呢？

以下为总结的一些常规操作：

着重分析一下这些操作的具体方法：

注册表排查

# 开机自启HKCU:\\Software\\Microsoft\\Windows\\CurrentVersion\\RunHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnceHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicesHKEY_CURRENT_USER\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicesOnceHKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunHKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunOnceHKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicesHKEY_LOCAL_MACHINE\\Software\\Microsoft\\Windows\\CurrentVersion\\RunServicesOnce# winrm后门HKLM\\SOFTWARE\\Microsoft\\Windows\\CurrentVersion\\Policies\\System# Logon Scripts后门HKCU\\Environment\\# 服务项HKEY_LOCAL_MACHINE\\SYSTEM\\CurrentControlSet\\Services

安全配置排查

# 检查防火墙策略netsh firewall show config# 检查端口，进程连招netstat -ano | findstr \"[port]\"tasklist | findstr \"[pid]\"# 检查系统安装的补丁systeminfo

# Applocker应用控制策略检查，查看是否对敏感目录使用了适当的规则

Applocker用于限制某些目录下应用程序，脚本等的执行。

# 打开方式

运行->secpol.msc

防御Applocker绕过

常见的绕过方式有Regsv***.exe绕过 和 msxsl.exe执行脚本绕过

禁止这两个文件的使用即可

UAC (User Account Control)

在命令行中输入gpedit.msc查看本地组策略，找到路径 计算机配置->Windows设置->安全设置->本地策略->安全选项

排查安全策略是否配置妥当

例如，通过如下选项可配置当某程序要以管理员身份运行时弹出UI界面

PowerShell执行策略

#在powershell中运行如下指令#查看策略Get-ExecutionPolicy#更改策略Set-ExecutionPolicy -Scope CurrentUser Restricted #设置执行策略为允许单独的命令，但不会运行脚本。Get-ExecutionPolicy -List #查看当前的执行策略

绕过Powershell执行策略的方式有很多种，甚至直接在后面加上 -ep Bypass 就可以执行powershell脚本。可见微软并没有将该策略当做一种严格安全防护。因此这里不再赘述。

ASR (Attack surface reduction，攻击面减少规则)

适用Windows版本（windows较低版本中找不到对应的函数）

# 运行powershell# 设置ASR规则Set-MpPreference -AttackSurfaceReductionRules_Ids-AttackSurfaceReductionRules_Actions Enabled# 禁用ASR规则Add-MpPreference -AttackSurfaceReductionRules_Ids-AttackSurfaceReductionRules_Actions Disabled

示例GUID：

以上代码及资料均参考自微软的官方文档：
   https://docs.microsoft.com/zh-cn/windows/security/threat-protection/microsoft-defender-atp/customize-attack-surface-reduction

用户权限分配

查看其中是否有用户获得异常的授权

该配置中的程序调试如果没有需要尽量置为空，Mimikatz的privilege::debug便是借助该配置的不妥当才得以提权

检查进程

Process Explorer

排查当前进程

可以右键选择Check VirusTotal，

软件会把当前文件上传至VirusTotal进行在线查毒

并将结果返回至软件

D盾

均可在D盾中轻松查看，在此不再赘述

文件访问记录

访问本地目录 C:\\Users\\[用户名称]\\AppData\\Roaming\\Microsoft\\Windows\\Recent

程序运行记录

访问本地目录 C:\\Windows\\prefetch

可以看到有许多.pf，pf文件是一些预读文件，用于提高程序的加载速度。

有没有感觉新安装的游戏，第二次打开要比第一次打开玩加载速度快。

可以使用工具WinPrefetchView进行查看，该软件会自动定位系统中的上述文件夹并读取内容

可以很清晰的查看到运行过的程序(隐私考虑。某些地方就打码了

双击便可查看详细信息，如创建时间，上一次的运行时间，程序所在路径等，

选中上方程序在下方可以查看该程序访问的文件（此处以chrome为例）

事件查看器

异常的计划任务

查看定时任务

查看自启动程序

Powershell / cmd执行记录

Windows将cmd指令历史和powershell指令历史存到了一个文件中， 默认的储存位置如下：

C:\\Users\\[用户名]\\AppData\\Roaming\\Microsoft\\Windows\\PowerShell\\PSReadLine\\ConsoleHost_history.txt

使用杀软

安装杀软进行全面的查杀

0×03 一些总结

以前一直在做逆向，近期才开始学内网安全方面的知识。

不少初学者包括我在内都有一些疑问，日志被攻击者删除了怎么办？

上面这些操作是不是就没有意义了？

查过一些资料，目前有不少已经开发的出的

如：堡垒机可以在内网保存日志信息的产品，一些有价值的攻击目标也往往会部署这些安全产品来应对网络安全问题。

写这篇文章是做一个短期的总结，个人水平有限

若分享的文中有错误还望各位大佬斧正。

如果分享的这些知识能帮到各位看官就再好不过啦~

web安全体系化视频教程，在线免费观看！

进群 领工具 靶场=扫码直接领

0×04 参考资料

作者：IceyHac

转载自：
   https://www.freebuf.com/articles/system/238860.html