SYS-01：Windows的账户安全

安全配置核心原则：

1. 强密码策略：

• 通过组策略设置密码复杂度：

# 启用密码复杂度要求 secedit /export /cfg secpolicy.inf # 修改文件中的 "PasswordComplexity = 1" secedit /configure /db secpolicy.sdb /cfg secpolicy.inf 

2. 禁用默认账户：

• 禁用Guest账户：net user Guest /active:no

• 重命名Administrator账户：

Rename-LocalUser -Name "Administrator" -NewName "SecAdmin" 

3. 最小权限原则：

• 限制普通用户的权限，避免赋予SeDebugPrivilege等高危权限。

防御工具：

• LAPS（本地管理员密码解决方案）：自动管理本地管理员密码并定期轮换。

---

SYS-02：Webshell排查

检测与清除步骤：

1. 文件监控：

• 使用find命令搜索可疑文件：

find /var/www/html -name "*.php" -mtime -1 # 查找24小时内修改的PHP文件 

2. 日志分析：

• 检查Web服务器日志（如Apache的access.log），过滤异常请求：

grep "POST /uploads/" /var/log/apache2/access.log 

3. 工具扫描：

• 使用ClamAV检测Webshell：

clamscan -r /var/www/html --include="*.php" 

4. 内存取证：

• 通过Volatility分析进程内存，查找恶意代码注入痕迹。

防御建议：

• 部署WAF（Web应用防火墙）拦截恶意请求。

• 启用文件完整性监控（如Tripwire）。

---

SYS-03：清除日志、抹除痕迹

日志清除技术：

1. Windows事件日志：

• 使用PowerShell清除安全日志：

Clear-EventLog -LogName "Security" 

• 或直接删除日志文件：

wevtutil cl Security 

2. IIS日志：

• 定位日志路径（默认在C:\inetpub\logs\LogFiles），手动删除目标日志。

3. Linux系统日志：

• 清空/var/log/auth.log：

> /var/log/auth.log 

痕迹抹除工具：

• Slack：覆盖文件未使用磁盘空间，防止数据恢复。

• Metasploit的clearev模块：自动清理目标主机日志。

注意事项：

• 日志清除需在授权渗透测试后执行，避免触发防御告警。

---

SYS-04：什么是弱口令攻击

弱口令定义：

• 密码长度短（如<8字符）、使用常见词汇（admin/123456）或缺乏复杂度（无大小写、特殊字符）。

攻击工具：

1. Hydra：支持多种协议（SSH、FTP、RDP）的暴力破解：

hydra -l admin -P passlist.txt ssh://192.168.1.10 

2. John the Ripper：破解哈希密码：

john --format=nt hashes.txt 

防御措施：

• 强制启用多因素认证（MFA）。

• 使用密码管理器生成随机强密码。

---

SYS-05：如何暴力破解（一）

暴力破解流程：

1. 目标枚举：

• 使用Nmap扫描开放服务：

nmap -p 22,3389 192.168.1.0/24 

2. 字典生成：

• 使用crunch生成定制字典：

crunch 6 8 0123456789 -o numlist.txt # 生成6-8位数字组合 

3. 实施攻击：

• 针对RDP服务使用Crowbar：

crowbar -b rdp -s 192.168.1.10/32 -u admin -C passwords.txt 

防御策略：

• 限制登录失败次数（如Windows组策略：账户锁定阈值 = 3）。

• 启用IP黑名单自动封锁（如Fail2Ban）。

---

SYS-06：如何暴力破解（二）

高级绕过技术：

1. 分布式爆破：

• 使用工具（如Patator）分配任务至多台代理服务器，规避IP封锁。

2. 验证码绕过：

• OCR识别：使用Tesseract解析简单验证码。

• 机器学习：训练模型自动识别复杂验证码（需大量样本）。

3. 令牌劫持：

• 通过XSS窃取会话Cookie，绕过登录验证。

工具实战（以Burp Suite为例）：

1. 捕获登录请求并发送至Intruder模块。

2. 设置Payload为字典文件，选择Cluster Bomb攻击模式。

3. 分析响应长度差异，识别成功登录尝试。

---

总结

本部分深入探讨了系统与账户安全的核心攻防技术，从账户加固到日志清理，覆盖红队渗透与蓝队防御的双重视角。下期预告：协议与基础原理（HTTP协议分析、RCE漏洞利用链）！

---

注意事项：

• 所有攻击演示需在授权环境中进行，遵守法律法规。

• 推荐使用靶场（如Metasploitable）模拟真实攻击场景。