租谁家服务器安全,不用实名认证?
国外的VPS(VirtualPrivateServer虚拟专用服务器)几乎都不用实名认证,你可以填写虚假的信息,只要不是假的太离谱。
Vultr-最好的VPS托管商(可以支付宝/微信付款)
Vultr是一家成立于2014年的VPS提供商。根据域名所有者资料,母公司是2005年成立于新泽西州的ClanServersHostingLLC公司,他们家的游戏服务器托管在全球6个国家的12个数据中心,选择非常多。Vultr家的服务器采用的E3的CPU,清一色的Intel的SSD硬盘,Vultr的计费按照使用计费(自行选择配置、可以按月或按小时计费),用多少算多少,可以随时取消,Vultr的服务器托管在全球14个数据中心,即时开通使用。堪称是拥有最多机房的vps服务商。
Hostinger-适合所有人的VPS(支持支付宝/微信)
Hostwinds是一家美国主机商,成立于2010年,总部位于美国西雅图。现在规模已经做到相当大了,而且每年都以飞快的速度增长,绝对不是一些小型主机商,所以不用担心跑路问题,品牌绝对有保障。
Kamatera-性价比最高的VPS
国际云服务平台提供商Kamatera成立于1995年,通过13个全球数据中心,为世界各地的成千上万客户提供服务。你将可以获得量身定制的云基础架构,并且由专业技术人员全天候24/7守候护航。
AccuWebHosting-最好的韩国VPS
2003年成立,总部位于新泽西州,Accuwebhosting为Linux和Windows平台提供广泛的托管计划。他们被微软批准为WebMatrix兼容性托管公司,并且是多个ASPNET组件的推荐供应商。
BandwagonHost(搬瓦工)-最受欢迎的VPS(支持支付宝)
可选机房有:香港、洛杉矶、凤凰城、费利蒙、纽约、温哥华、阿姆斯特丹;洛杉矶机房还有:亚洲优化、CN2GIA、CN2GT等特别针对中国大陆的优质高速网络线路可选。后台支持一键安装x程序、快照备份等功能。
InterServer-强大、易用、实惠的VPS
运作历史达17年之久,业务覆盖:虚拟主机、分销主机、VPS(WindowsVPS)、服务器出租、服务器托管,有洛杉矶、新泽西机房。其WindowsVPS支持免费快照(备份)、IPv6、1000M端口,rDNS等。适合建站,国人客户不多!
最后
VPS的供应商实在是太多了,VPS这个东西会根据你的网络环境而导致连接速度千差万别,对速度有要求的话,建议多看看网络上的评测,挑选适合自己的VPS。
至于国内的VPS,几乎全部要实名,而且你要进行解析还需要进行非常长时间的备案。
您好!
SSL证书是一种数字证书,主要是给予网站HTTPS安全协议加密传输与信任的功能。
网站实现加密传输
用户通过http协议访问网站时,浏览器和服务器之间是明文传输,这就意味着用户填写的密码、账号、交易记录等机密信息都是明文,随时可能被泄露、窃取、篡改,被黑客加以利用。
网站安装SSL证书后,使用https加密协议访问网站,可激活客户端浏览器到网站服务器之间的"SSL加密通道"(SSL协议),实现高强度双向加密传输,防止传输数据被泄露或篡改。
认证服务器真实身份
钓鱼欺诈网站泛滥,用户如何识别网站是钓鱼网站。
网站部署全球信任的SSL证书后,浏览器内置安全机制,实时查验证书状态,通过浏览器向用户展示网站认证信息,让用户轻松识别网站真实身份,防止钓鱼网站仿冒。
此外,证书显示的信息包含完整的公司信息。此类证书通过256位SSL加密来保障在线交易安全,能使你的用户和访问者明白他们与你网站的信息传输是采用先进的SSL加密技术,有赔付保障。
EV SSL证书内容
浏览器显示绿色地址栏,绿色“锁”型安全标志,超强的256位加密保护,以及公司的名称和证书颁发该证机构名称。
在网站使用HTTPS协议后,由于SSL证书可以认证服务器真实身份,从而防止钓鱼网站伪造
提高网站搜索排名
通过百度公告的颁布,明确指出搜索引擎在排名上,会优先对待采用HTTPS协议的网站。
提高网站访问速度
通过HTTP vs HTTPS对比测试,表明使用了SSL证书的新一代HTTP2协议,其访问网站的速度远远快于使用HTTP协议的网站。
提高公司品牌形象和可信度
部署了SSL证书的网站会在浏览器地址栏中显示HTTPS绿色安全小锁。可告诉用户其访问的是安全可信的站点,可放心的进行操作和交易,有效提升公司的品牌形象和可信度。
一、RDP 服务确定和启动
1 确定RDP服务是否启动和服务端口
(1)注册表查询
(2)进程查看
2 启动RDP服务
(1)cmd 本地注册表启动
也可以通过reg配置文件的方式启动:regedit /s startrdpreg
(2) 利用Wmic 启动远程主机的RDP服务
二、RDP 用户登录前
(1) 明文密码:RDP爆破,SMB爆破(使用MSF中的smb_login 模块可以确定有效用户并判断是否是管理员组的)等工具
(2) Hash:Impacket工具包中的rdp_checkpy 脚本可以通过hash确定目标机器是否存在枚举的用户
当用户存在时会提示 Access Granted,否者提示 Access Denied
(3) RDP中间人:Seth
执行后客户端链接服务器会失败,过段时间恢复正常
但是如果普通的用户,那需要进一步判断目标系统来确定合适的登录时机
(1) Windows XP、2003 支持统一用户登陆多地登陆互不影响,使用query user查看在线用户,XP没有该命令也可以使用taskmgr从任务管理器查看,同一权限下可以相互注 销会话。
(2) 非服务器版本的Windows 系统默认只允许一个账户登录。当远程用户登录时使用与原系统相同的账户,原系统将切换到登陆页面,并会看到登陆的机器名
如果使用不同的账户,原系统将弹窗提示其他用户已登陆到此计算机
选择继续后,原系统将会提示是否端口当前链接(30s后默认选择同意,退出到登陆页面)
(1) mstscexe
可以通过如下命令开启 Restricted Admin mode
开启后使用:mstscexe /restrictedadmin 进行登录不需要密码,将使用当前用户的hash 进行验证
(2) mimikatzexe
4 Linux上使用用户hash登录
PS:这里有一个坑,高版本xfreerdp不支持 /pth 参数,可以使用上面的安装命令安装支持/pth的版本,也可以使用kali/parrot中默认安装好
PS2:如果RDP服务启动了,客户端无法链接,可能是防火墙配置的问题,可以执行如下命 令添加防火墙规则允许3389端口TCP通信
PS3:如果出现远程连接出现身份验证错误,要求的函数不支持,解决方法:
四、关于 RDP 权限维持方法
1 关闭 RDP 安全认证
当服务器开启安全认证时,必须先通过登陆密码才能进入远程桌面;如果服务端用的是 不安全的认证方式,即可以先远程链接后登陆可以触发Shift后门
如何设置不安全的连接,去掉”仅允许使用网络级别的身份验证的远程桌面的计算机连 接”选项,需要注意的是先上系统后验证也会在计算机本地留下一定的进程、日志。
2 Shift后门 + RDP劫持
配合上面的关闭RDP安全认证方式,利用Shift后门可以让攻击者快速获得System权 限,结合RDP劫持可以实现无需创建用户、不更改劫持用户登录时间、解锁劫持用户界面、 等功能。注意RDP劫持需要System权限
另外一种方法可以通过创建服务激活
Mimikatz中也有相关的利用模块
3 开启多人登录模式
(1)手动设置:将计算机配置(Computer Configuration)->管理模板 (Administrative Templates)->Windows组件(Windows Components)->远程桌面 服务(Remote Desktop Services)->远程桌面会话主机(Remote Desktop Session Host)->链接(Connections),禁用”将远程桌面服务的用户限制到单独的远程桌面会 话”(Restrict Remote Desktop Services users to a single Remote Desktop Services session) (2)Mimikatz 开启多用户登录,支持Win 7 及以前的版本系统
PS:使用与原系统相同的账户,原系统还是会被切换到登录界面;不同账户登陆成功 (3)RDPwrap:支持Win Vista - Win10
(4)SharpDoor:仅使用于Win 10 开启多会话RDP
五、RDP 服务器反打客户端
需要客户端RDP链接时,开启磁盘共享(将本地磁盘挂在到服务器上)才能正常利用
2 手动利用过程:假设客户端和登录服务器的用户都是Administrator
\Startup\powershellvbs 作用是无弹窗执行bat脚本
(2)Windowsbat 脚本内容实现马(serviceexe)拷贝到客户端的启动目录
也可以根据实际情况,将Rat拷贝到客户端的其他目录,将激活脚本拷贝到客户端启动目 录;如果不出网的情况下,也可以将exe替换成要执行的脚本 。
最近一段时间都在折腾安全(Security)方面的东西,比如Windows认证、非对称加密、数字证书、数字签名、TLS/SSL、WS-Security等。如果时间允许,我很乐意写一系列的文章与广大网友分享、交流。对于很多读者来说,今天讨论的可能是一个既熟悉、又陌生的话题——Windows认证。目录
一、Kerberos认证简介
四、凭票入场一、Kerberos认证简介Windows认证协议有两种NTLM(NT LAN Manager)和Kerberos,前者主要应用于用于Windows NT 和 Windows 2000 Server(or Later) 工作组环境,而后者则主要应用于Windows 2000 Server(or Later) 域(Domain)环境。Kerberos较之NTLM更高效、更安全,同时认证过程也相对复杂。Kerberos这个名字来源于希腊神话,是冥界守护神兽的名字。Kerberos是一个三头怪兽,之所以用它来命名一种完全认证协议,是因为整个认证过程涉及到三方:客户端、服务端和KDC(Key Distribution Center)。在Windows域环境中,KDC的角色由DC(Domain Controller)来担当。某个用户采用某个域帐号登录到某台主机,并远程访问处于相同域中另一台主机时,如何对访问者和被访问者进行身份验证(这是一种双向的验证)?这就是Kerberos需要解决的场景。接下来我尽量以比较直白的语言来介绍我所知道的Kerberos认证的整个流程。Kerberos实际上是一种基于票据(Ticket)的认证方式。客户端要访问服务器的资源,需要首先购买服务端认可的票据。也就是说,客户端在访问服务器之前需要预先买好票,等待服务验票之后才能入场。在这之前,客户端需要先买票,但是这张票不能直接购买,需要一张认购权证。客户端在买票之前需要预先获得一张认购权证。这张认购权证和进入服务器的入场券均有KDC发售。右图(点击看大图)一张图基本揭示了Kerberos整个认证的过程。二、如何获得“认购权证”?首先,我们来看看客户端如何获得“认购权证”。这里的认购权证有个专有的名称——TGT(Ticket Granting Ticket),而TGT的是KDC一个重要的服务——认证服务(KAS:Kerberos Authentication Service)。当某个用户通过输入域帐号和密码试图登录某台主机的时候,本机的Kerberos服务会向KDC的认证服务发送一个认证请求。该请求主要包括两部分内容,明文形式的用户名和经过加密的用于证明访问者身份的Authenticator(我实在找不到一个比较贴切的中文翻译没,Authenticator在这里可以理解为仅限于验证双反预先知晓的内容,相当于联络暗号)。当KDC接收到请求之后,通过AD获取该用户的信息。通过获取的密码信息生成一个秘钥对Authenticator进行解密。如果解密后的内容和已知的内容一致,则证明请求着提供的密码正确,即确定了登录者的真实身份。KAS成功认证对方的身份之后,会先生成一个用于确保该用户和KDC之间通信安全的会话秘钥——Logon Session Key,并采用该用户密码派生的秘钥进行加密。KAS接着为该用户创建“认购权证”——TGT。TGT主要包含两方面的内容:用户相关信息和Logon Session Key,而整个TGT则通过KDC自己的密钥进行加密。最终,被不同密钥加密的Logon Session Key和TGT返回给客户端。(以上的内容对应流程图中的步骤1、2)三、如何通过“认购权证”购买“入场券”?经过上面的步骤,客户端获取了购买进入同域中其他主机入场券的“认购凭证”——TGT,以及Logon Session Key,它会在本地缓存此TGT和Logon Session Key。如果现在它需要访问某台服务器的资源,它就需要凭借这张TGT向KDC购买相应的入场券。这里的入场券也有一个专有的名称——服务票据(ST:Service Ticket)。具体来说,ST是通过KDC的另一个服务TGS(Ticket Granting Service)出售的。客户端先向TGS发送一个ST购买请求,该请求主要包含如下的内容:客户端用户名;通过Logon Session Key加密的Authenticator;TGT和访问的服务器(其实是服务)名。TGS接收到请求之后,现通过自己的密钥解密TGT并获取Logon Session Key,然后通过Logon Session Key解密Authenticator,进而验证了对方的真实身份。TGS存在的一个根本的目有两点:其一是避免让用户的密码客户端和KDC之间频繁传输而被窃取。其二是因为密码属于Long Term Key(我们一般不会频繁的更新自己的密码),让它作为加密密钥的安全系数肯定小于一个频繁变换得密钥(Short Term Key)。而这个Short Term Key就是Logon Session Key,它确保了客户端和KDC之间的通信安全。TGS完成对客户端的认证之后,会生成一个用于确保客户端-服务器之间通信安全的会话秘钥——Service Session Key,该会话秘钥通过Logon Session Key进行加密。然后出售给客户端需要的入场券——ST。ST主要包含两方面的内容:客户端用户信息和Service Session Key,整个ST通过服务器密码派生的秘钥进行加密。最终两个被加密的Service Session Key和ST回复给客户端。(以上的内容对应流程图中的步骤3、4)四、凭票入场客户端接收到TGS回复后,通过缓存的Logon Session Key解密获取Service Session Key。同时它也得到了进入服务器的入场券——ST。那么它在进行服务访问的时候就可以借助这张ST凭票入场了。该Serivce Session Key和ST会被客户端缓存。但是,服务端在接收到ST之后,如何确保它是通过TGS购买,而不是自己伪造的呢?这很好办,不要忘了ST是通过自己密码派生的秘钥进行加密的。具体的操作过程是这样的,除了ST之外,服务请求还附加一份通过Service Session Key加密的Authenticator。服务器在接收到请求之后,先通过自己密码派生的秘钥解密ST,并从中提取Service Session Key。然后通过提取出来的Service Session Key解密Authenticator,进而验证了客户端的真实身份。实际上,到目前为止,服务端已经完成了对客户端的验证,但是,整个认证过程还没有结束。谈到认证,很多人都认为只是服务器对客户端的认证,实际上在大部分场合,我们需要的是双向验证(Mutual Authentication)——访问者和被访问者互相验证对方的身份。现在服务器已经可以确保客户端是它所声称的那么用户,客户端还没有确认它所访问的不是一个钓鱼服务呢。为了解决客户端对服务器的验证,服务要需要将解密后的Authenticator再次用Service Session Key进行加密,并发挥给客户端。客户端再用缓存的Service Session Key进行解密,如果和之前的内容完全一样,则可以证明自己正在访问的服务器和自己拥有相同的Service Session Key,而这个会话秘钥不为外人知晓(以上的内容对应流程图中的步骤5、6)以上的内容仅仅讲述的是基于Kerberos的Windows认证的大体流程,并不涉及到一些细节的东西,比如如何确保时间的同步,如何抵御Replay Attack等。此外,由于本文对Windows底层的知识有限,不能确保所有的内容都是完全正确,如有错误,还往不吝指正。Windows安全认证是如何进行的?[NTLM篇]
网页电子税务能够设置24小时不掉线,首先,可以通过服务器端的安全配置来设置。
首先,应该将服务器的安全配置进行认证,以保证服务器的安全性。安全认证的方法有多种,包括防火墙、安全认证等。可以根据电子税务服务器的特性,设置合适的安全配置,以保证服务器的安全性。
其次,可以通过网络连接的配置来设置24小时不掉线。主要的网络配置包括路由器的配置、静态IP地址的设置等。可以根据电子税务的特点,设置合适的网络配置,保证服务器的稳定性,从而保证24小时不掉线。
再次,可以通过软件的配置来设置24小时不掉线。主要的软件配置包括网络服务器的配置、数据库的配置等。可以根据电子税务服务器的特点,设置合适的软件配置,以保证服务器的稳定性,从而保证24小时不掉线。
最后,可以通过数据备份的配置来设置24小时不掉线。主要的备份配置包括定时备份、定期备份等。可以根据电子税务服务器的特点,设置合适的数据备份配置,以保证服务器的稳定性,从而保证24小时不掉线。
综上所述,通过服务器端的安全配置、网络连接的配置、软件的配置和数据备份的配置,都可以设置网页电子税务24小时不掉线。
0条评论