SYS-01：Windows的賬戶安全

安全配置核心原則：

1. 強密碼策略：

• 通過組策略設置密碼復雜度：

# 啟用密碼復雜度要求 secedit /export /cfg secpolicy.inf # 修改文件中的 "PasswordComplexity = 1" secedit /configure /db secpolicy.sdb /cfg secpolicy.inf 

2. 禁用默認賬戶：

• 禁用Guest賬戶：net user Guest /active:no

• 重命名Administrator賬戶：

Rename-LocalUser -Name "Administrator" -NewName "SecAdmin" 

3. 最小權限原則：

• 限制普通用戶的權限，避免賦予SeDebugPrivilege等高危權限。

防御工具：

• LAPS（本地管理員密碼解決方案）：自動管理本地管理員密碼并定期輪換。

---

SYS-02：Webshell排查

檢測與清除步驟：

1. 文件監控：

• 使用find命令搜索可疑文件：

find /var/www/html -name "*.php" -mtime -1 # 查找24小時內修改的PHP文件 

2. 日志分析：

• 檢查Web服務器日志（如Apache的access.log），過濾異常請求：

grep "POST /uploads/" /var/log/apache2/access.log 

3. 工具掃描：

• 使用ClamAV檢測Webshell：

clamscan -r /var/www/html --include="*.php" 

4. 內存取證：

• 通過Volatility分析進程內存，查找惡意代碼注入痕跡。

防御建議：

• 部署WAF（Web應用防火墻）攔截惡意請求。

• 啟用文件完整性監控（如Tripwire）。

---

SYS-03：清除日志、抹除痕跡

日志清除技術：

1. Windows事件日志：

• 使用PowerShell清除安全日志：

Clear-EventLog -LogName "Security" 

• 或直接刪除日志文件：

wevtutil cl Security 

2. IIS日志：

• 定位日志路徑（默認在C:\inetpub\logs\LogFiles），手動刪除目標日志。

3. Linux系統日志：

• 清空/var/log/auth.log：

> /var/log/auth.log 

痕跡抹除工具：

• Slack：覆蓋文件未使用磁盤空間，防止數據恢復。

• Metasploit的clearev模塊：自動清理目標主機日志。

注意事項：

• 日志清除需在授權滲透測試后執行，避免觸發防御告警。

---

SYS-04：什么是弱口令攻擊

弱口令定義：

• 密碼長度短（如<8字符）、使用常見詞匯（admin/123456）或缺乏復雜度（無大小寫、特殊字符）。

攻擊工具：

1. Hydra：支持多種協議（SSH、FTP、RDP）的暴力破解：

hydra -l admin -P passlist.txt ssh://192.168.1.10 

2. John the Ripper：破解哈希密碼：

john --format=nt hashes.txt 

防御措施：

• 強制啟用多因素認證（MFA）。

• 使用密碼管理器生成隨機強密碼。

---

SYS-05：如何暴力破解（一）

暴力破解流程：

1. 目標枚舉：

• 使用Nmap掃描開放服務：

nmap -p 22,3389 192.168.1.0/24 

2. 字典生成：

• 使用crunch生成定制字典：

crunch 6 8 0123456789 -o numlist.txt # 生成6-8位數字組合 

3. 實施攻擊：

• 針對RDP服務使用Crowbar：

crowbar -b rdp -s 192.168.1.10/32 -u admin -C passwords.txt 

防御策略：

• 限制登錄失敗次數（如Windows組策略：賬戶鎖定閾值 = 3）。

• 啟用IP黑名單自動封鎖（如Fail2Ban）。

---

SYS-06：如何暴力破解（二）

高級繞過技術：

1. 分布式爆破：

• 使用工具（如Patator）分配任務至多臺代理服務器，規避IP封鎖。

2. 驗證碼繞過：

• OCR識別：使用Tesseract解析簡單驗證碼。

• 機器學習：訓練模型自動識別復雜驗證碼（需大量樣本）。

3. 令牌劫持：

• 通過XSS竊取會話Cookie，繞過登錄驗證。

工具實戰（以Burp Suite為例）：

1. 捕獲登錄請求并發送至Intruder模塊。

2. 設置Payload為字典文件，選擇Cluster Bomb攻擊模式。

3. 分析響應長度差異，識別成功登錄嘗試。

---

總結

本部分深入探討了系統與賬戶安全的核心攻防技術，從賬戶加固到日志清理，覆蓋紅隊滲透與藍隊防御的雙重視角。下期預告：協議與基礎原理（HTTP協議分析、RCE漏洞利用鏈）！

---

注意事項：

• 所有攻擊演示需在授權環境中進行，遵守法律法規。

• 推薦使用靶場（如Metasploitable）模擬真實攻擊場景。