电脑ie主页浏览器被劫持怎么办

主页劫持是一种恶意程序，通过浏览器插件、BHO（浏览器辅助对象）、Winsock LSP等形式对用户的浏览器进行篡改，使用户的浏览器配置不正常，被强行引导到商业网站。 所谓浏览器劫持是指网页浏览器（IE等）被恶意程序修改。

2电脑系统多个浏览器主页被同一网站劫持

工具/原料

电脑

浏览器

杀毒软件

方法/步骤

开始 - 运行（输入regedit） - 确定或回车以打开注册表编辑器。

注册表路径：

HKEY_LOCAL_MACHINE \ SOFTWARE \微软\ InternetExplorer的\ MAIN

在窗口右侧查找：检查网站是否已被篡改（默认为“空”或微软的官方网站）。如果收到篡改，请将起始页的值更改为about：blank或自定义网站。

根据以上 *** 作查找，注册表路径：HKEY_CURRENT_USER \ Software \ Microsoft \ Internet Explorer \ Main，在窗口的右侧，找到：Start Page。

当然，都有“特殊情况”，删除恶意开始页面中的新选项。

这通常适用于三向浏览器（uc，google等），在这里，以UC浏览器为例，在桌面上找到UC浏览器快捷方式，右键单击 - 属性，在这里，您可以在浏览器快捷方式中看到目标栏，并且快捷方式（2）显然已添加到URL中。删除此URL并单击“确定”。

故障对象是所有的浏览器（IE浏览器、搜狗浏览器），一个也不能幸免。查看方式是：右键点击任务栏的浏览器图标→属性→快捷方式→目标，后缀会自动加载劫持网址。
选中劫持的网址（在SogouExplorer\SogouExplorerexe后面）→删除之。
但是，时间一到，相关脚本又会自动加载（此法无效），很多用户无法正确判断是哪一个程序加载的。
3
下载、解压、双击安装WMIToolsexe工具。

判断方法与解决方法

路由器劫持：一般通过更改DNS可以解决（改8888或者114这类），还有问题的话可以联系当地运营商或者投诉。

第三方软件或者插件劫持出现的问题

（注意：一般情况下正常主页如 hao123已“3W”开头已“cn或者com等结尾”那么当看到“cn或com”后跟随着“/tn=29065018_59_hao_pg”那么即为劫持网址后缀的推广链接，在网络上有时候是可以查到“tn=数字”是谁家在进行的挟持，出现劫持大多数都是这些原因造成的，可以简单排查以下原因

傲游设置项被劫持：

点击右上角菜单→设置→基本设置，可以检查下自己的主页网址设置是否正确，不是自己的主页网址更改即可。

桌面图标被劫持：

可以通过查看删除相关网址解决，桌面图标属性→快捷方式→目标maxthonexe后面是否有网址，如果有删除后即可

第三方软件主页锁定：

防护软件锁定主页较多（如360，毒霸等类似软件锁定主页）解除锁定即可。

Host绑定劫持：

因为host有权限的原因，出现的很少解决方法就是查看host是否被绑定跳转，看不懂的话就恢复认host试试C:\Windows\System32\Drivers\Etc的hosts文件路径

新装系统浏览器被劫持

新装系统后安装浏览器发现被劫持，需要考虑本身系统中就存在着劫持软件，很多人会下载第三方制作的系统镜像，那么镜像中会集成部分劫持软件如火绒安全实验室、ADsafe等等（盗版系统），或者在新安装完的系统中会发现桌面会直接看到hao123的icon启动程序，那么建议在安装系统前可以到比较专业和正规的网站去下载比如“CSDN >

浏览器插件劫持

在开发者第一次上传时不会动手脚，审核插件的机制是先下载到本地安装使用后解压安装包查看代码是否有异常，当没有异常时会通过，大家可以在前台看到新的插件，那么不免有审核人员遗漏的时候，本着已信任为原则，而开发者竟然利用了这一点，现在对于插件的审核力度大大增加了，当安装某插件后，打开浏览器时会不停跳转至某个网页的现象或打开某主流网站时会跳转指向其它网站，那么需要把插件禁用后删除插件来排查，如果排查出来那个插件后请私信告诉对应官方人员，官方应该会直接下架该插件并警告插件开发者

安装第三方软件被劫持

在下载任何软件时都应当注意到安装软件过程中不要马上进行下一步下一步，在细心一步一步进行观察时就会看到在安装过程前一步都会有个角落默默的勾选上设置某某为主页的情况，那么在这种时候就需要取消勾选，要不然会后悔的，有些时候是需要通过从注册表删除才管用，那么个人向大家推荐一款比较好用的软件adwcleaner

KMS劫持

众所周知KMS是激活win系统的工具，那么偏偏有人在这里做了手脚，同样的可以使用九中提到的软件

运营商挟持

一般情况下出现在南方较多北方较少，可以通过更改dns、使用、更换本机ip等在打开浏览器试试看，如果劫持消失就可以确实是运营商劫持了，对于运营商劫持出了提到的方法，那么需要拨打本地运营商电话去投诉

Dns被劫持

dns被劫持其实有两个方面一方面已经在十一中提到，另一方面想说的是杀软劫持dns问题，近期个人在使用杀软Avast时发现打开网页极慢，在先检查出现两个国外的DNS服务器地址，当设置本地dns地址也是失效的，最后找到原因是因为Avast的真是地址插件绑了Dns导致，所以需要禁用两个国外的地址就可以了，简单的方法是可以通过host来进行屏蔽

WMI脚本劫持、驱动劫持

如果是这种方法锁定的主页，普通用户很难通过简单的方法修改，必须找到根源。由于涉及的知识很多，无法展开介绍，这里提供一下思路，供有基础的朋友参考。可以通过进程监视工具ProcessMonitor（下载）或PCHunter（下载）等对系统进程进行密切监视，基本上就可以发现可疑进程。如果是通过WMI劫持，可用微软的WMI Tool工具将恶意代码删除；通常驱动劫持最为隐蔽，通过驱动程序将DLL注入进程进行劫持，这类问题也可以通过PCHunter等类似的 软件将其捕获，进行终止并删除，或使用病毒木马查杀类软件进行扫描，多数问题可以解决。

windows下，点击“开始”→“运行”，键入regedit，然后按“确定”键；
展开注册表到 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Internet Explorer\Main下，在右半部分窗口中找到串值“Start Page”双击 ，将所有带有hao123 字样的键值都改为“about:blank”即可；
同理，展开注册表到HKEY_CURRENT_USER\Software\Microsoft\InternetExplorer\Main 在右半部分窗口中找到带有hao123字样的一律修改，然后按②中所述方法处理。
退出注册表编辑器，重新启动计算机，一切OK了！

攻击机：kali 2020（192168107129）
DC：Windows Server 2012 R2（192168107137）
msf已成功通过msf获取到DC的shell

刚获取的shell为普通用户权限，需要进行提权，然后获取hash
直接使用getsystem失败，使用ps命令查看当前进程及运行用户权限

可以看到所运行的进程皆为普通用户权限

这里为了方便，直接使用msf提供的模块，用于快速识别系统中可能被利用的漏洞：

具体原理参考： BypassUAC------使用EVENTVWREXE和注册表劫持实现“无文件”UAC绕过

成功绕过UAC获取shell：

通过进程注入获取system权限，并获取hash

原理：

哈希传递攻击是基于NTLM认证的一种攻击方式。哈希传递攻击的利用前提是我们获得了某个用户的密码哈希值，但是解不开明文。这时我们可以利用NTLM认证的一种缺陷，利用用户的密码哈希值来进行NTLM认证。在域环境中，大量计算机在安装时会使用相同的本地管理员账号和密码。因此，如果计算机的本地管理员账号密码相同，攻击者就能使用哈希传递攻击登录内网中的其他机器。

哈希传递攻击适用情况：
在工作组环境中：

在域环境中：

Metasploit下面有3个psexec模块都可以进行Hash传递利用

第一个模块（auxiliary/admin/smb/psexec_command）：
缺点：只能运行单条命令，不支持网段格式批量验证
优点：奇怪的是其他普通用户的hash也可以执行系统命令，这个模块可能不属于hash传递的范畴？这个坑以后再来解，我太菜了，望大佬指点~

设置命令的时候可以配合exploit/multi/script/web_delivery从而获取meterpreter
在上面进行Hash传递的时候，只要后面的NTLM Hash是正确的，前面填写什么都是可以顺利登陆成功的。

第二个模块（exploit/windows/smb/psexec）：
利用条件：

优点：该模块支持网段格式批量验证，成功后可直接获取meterpreter且为system权限，在实战中优先使用

第三个模块（exploit/windows/smb/psexec_psh）：
使用powershell作为payload。这个模块也支持网段批量验证，这里就不再赘述了

当我们获得了内网中一台主机的NTLM哈希值，我们可以利用mimikatz对这个主机进行哈希传递攻击，执行命令成功后将会反d回cmd窗口

mimikatz中pth功能的原理：
windows会在lsass中缓存hash值，并使用它们来ntlm认证，我们在lsass中添加包含目标账号hash的合法数据结构，就可以使用类似dir这些命令进行认证

目标主机：192168107140
domain：SWS-PC

执行后会d出cmd，执行以下命令即可远程连接：

创建计划任务反dshell：

理论上来说是可行的，win7复现的时候，任务一直在运行，就是没结束，我也是醉了

当然这里使用powershell远程加载也是可以的，但由于环境因素无法复现

前提条件：获取到的beacon为system权限，user中带有号的用户
在得到一个beacon的基础上，先在该网段portscan，探测存活主机后

选择View-->Target-->Login-->psexec，可批量选择主机pth

个人觉得还是Msf好用，成功率更高一些

项目地址： >