論windows系統的安全性（中篇）

一、寫在前面的話

在上篇中介紹了win10-1709版本，對勒索病毒攻擊的445端口進行了簡單的滲透測試，這與微軟公布的win10未受到攻擊的情況相符。由于現在大衆對win7的認可度和接受度較高，使用者數量龐大，基于之前對win7系統成功進行滲透測試，本次會對win7以及主流防毒軟體的防護效果進行簡單測試。

二、實驗測試環境

滲透機：Kali Linux-2018.2 （192.168.64.130）

靶機：windows7家庭普通版 （192.168.64.131）

windows7企業版SP1（192.168.64.132）

實驗在VMware Workstation14下運作

網絡配置采用NAT

為了保證明驗系統的純淨性，排除第三方篡改導緻的系統安全威脅，特下載下傳官方鏡像進行安裝.

三、實驗流程

1. 在實驗首先進行連通性測試，發現預設開啟防火牆的情況下，依然無法ping通靶機，是以關閉防火牆進行測試
2. 使用ms17-010掃描子產品，對靶機進行掃描

   

從截圖可以發現，掃描子產品發現win7 存在漏洞,而且測試工具可以擷取到系統的版本資訊

3.使用ms17-010滲透子產品對靶機進行滲透

執行滲透

成功拿shell !

4.通過shell對靶機進行控制

建立控制角色賬戶前先檢視系統現有的使用者名

可以檢視到系統隻有一個名為test的管理者賬号

現在通過shell建立使用者名123密碼123

檢視使用者是否建立成功

登出系統，測試賬号是否可以使用

輸入密碼，可以正常登陸

但由于是标準使用者，是以更改賬戶是有權限限制的

現對使用者123進行提權，達到管理者權限

登出後重新登陸，發現使用者123已經授予了管理者權限

由于家庭普通版不支援遠端桌面，也無法被黑客利用，是以在安全性方面，家庭普通版較高（對，你沒看錯，連我自己都吓了一跳）

下面轉到另一靶機

拿shell後建立使用者123，使用者提權，開啟遠端桌面（開放3389端口）遠端桌面連接配接win7

建立使用者

将使用者加入管理組

開啟遠端桌面（開放3389端口）

連接配接win7

成功遠端連接配接

5.漏洞修複

建立快照利于恢複

微軟官方漏洞更新檔

發現安裝完官方釋出的更新檔，無法掃描到漏洞，也無法拿shell。

金山毒霸

安裝後開啟安全防禦，發現第一次代碼執行失效，但第二次還是成功拿shell

依然可以執行代碼并遠端連接配接

病毒庫截至目前是2018，5，02，版本

試試安裝更新檔與掃描看防禦是否生效

并沒有清除到漏洞

清除結束後測試依然未生效，依然可拿shell

重新開機試試,清除是否生效

重新清除

重新測試

這時不可拿shell

騰訊電腦管家

安全防護後依然可拿shell

重新體檢

但是依然可拿shell

重新檢測隻發現了1.25G的電腦垃圾

重新啟動系統進行測試

依然成功拿shell

電腦管家并沒有彈窗提示

重新檢測又發現了漏洞

這時靶機藍屏

靶機重新開機後依然可拿shell

重新掃描

重新進行測試，發現依然成功拿shell，隻是會偶爾造成靶機藍屏

由此可見電腦管家并不能對ms17_010永恒之藍漏洞進行防禦

360安全衛士+殺毒

結果同金山毒霸，第一次執行失效，第二次成功拿shell

修複系統漏洞，測試，成功拿shell

重新開機系統，檢視更新檔是否生效

依然可拿shell

偶然發現：

在重新開機靶機系統後發現另外問題，網卡擷取IP的速度變慢，會有一段時間的歎号出現，這與我在日常負責網絡維護與管理的過程中發現的情況一緻，解除安裝360安全衛士後，網絡故障恢複，在虛拟環境上在此在此驗證。

四、總結

根據對系統win7家庭基礎班和win7企業版兩個版本進行測試後發現，最有效防止黑客進行漏洞掃描及端口掃描的方式是開啟windows自帶的防火牆（下面的防護方法有詳細操作步驟），如果沒有安裝漏洞更新檔，強烈推薦進入微軟官網進行漏洞更新檔下載下傳安裝修護或者使用windows update 進行漏洞修複，不推薦第三方防毒軟體，經過三款知名度較高的中國防毒軟體廠商的漏洞測試，發現以下幾個問題

1.安裝防毒軟體後無法立即生效，起到防護作用

2.利用自帶的修複功能或者掃描功能多次重複，無法掃描到漏洞本身

3.即使聲稱修複了漏洞，但依然可以滲透成功，在電腦管家還出現了多次修複到相同漏洞的問題，而且修複後依然能拿shell,三款軟體隻有金山毒霸在掃描完成重新開機系統後阻止滲透程序，彈窗提示445端口，并能阻止黑客程序，即使在彈窗提示後關閉殺軟，重新開機計算機，也可殺掉黑客程序。

4.為使用者電腦增加負擔，彈廣告，捆綁軟體，拖累系統，甚至會引發網絡故障，藍屏等事件。

五、防護方法

開啟windows系統自帶防火牆，（系統預設開啟，如開啟，請忽略下面步驟）

路徑:控制台windows防火牆打開或關閉防火牆啟用windows防火牆

安裝微軟官方釋出的ms17-010更新檔

附上官方連結

https://docs.microsoft.com/zh-cn/security-updates/securitybulletins/2017/ms17-010

請選擇系統對應版本進行安裝

轉載請注明出處