0x01 前言
常见对一个安全工程师的要求总结:
合格的安全工程师需要掌握的技能:
0x02 Windows服务器系统安全
影响Windows系统安全的要素有很多:安全模型、文件系统、域和工作组、注册表、进程和用户等等。
操作系统安全定义,安全的五类服务:认证、访问控制、机密性、完整性、不可否认性。
1.账号安全策略设置
用户账户,分为两类本地用户账户和全局用户账户。Windows内置账户:Guset、Administrator。
组,一组相同账号的集合,可以简化对系统的管理。Windows有三种组:本地组、全局组、特别组。
账户安全的管理:用户账户管理中保证用户不会越权、系统管理员账户的口令管理、组的管理。
账号克隆和SID
Windows中SID是标识用户、组和计算机账户的唯一号码。
使用工具getsid.exe进行获取管理员和普通用户的sid:
guset一般是禁用状态,容易被复制成管理员。一般入侵者
账号克隆:
现在要完成将wittpeng赋予管理员的权限:先查看了wittpeng的sid值为0x3ec
记事本分别打开第二个和第三个文件,将第二个的F值复制到第三个中,删除创建的用户。第一个文件和第三个文件输入到注册表中。再次创建后,用户是没有隶属分组的,此时就已经有了管理员的权限了。
0x03 Linux服务器系统安全
最小权限原则:最小的权限+最少的服务=最大的安全
守护进程(Daemon,即windows下的系统服务),没有控制终端,不能和用户交互。常见的有sshd、vsftpd、vncserver、kudzu、portmap。
在ubuntu 16.04已经取消了chkconfig,使用sysv-rc-conf取代。
chkconfig改变运行等级:
chkconfig的用法:
chkconfig –list 列出所有的系统服务
chkconfig –add redis 增加redis服务
chkconfig –del redis 删除redis 服务
chkconfig –level redis 2345 on 把redis在运行级别为2、3、4、5的情况下都是on(开启)的状态。
更快捷的图形管理方式 ntsysv
关闭服务是为了防止或者应对入侵行为,如留个后门啥的,还有很多关闭服务的方法:
常见Linux服务:
0x04 Linux进程、端口安全技巧
查看进程ps,并可以查看运行状态。
中括号括起来的表示是内核的一部分,以方便我们进行管理。第一个进程init,可以使用fork功能启动下面的进程。
Windows下的tesklist差不多也是这个效果:
通过PS查找指定进程的PID,并依据PID关闭进程:
如果,出现了父进程和子进程,判断出父进程后,关闭父进程就可以了。查找子进程的方法:
root@debian-gnu-linux-vm:/home/parallels# pstree -p 2
kthreadd(2)─┬─ata_sff(84)
├─bioset(30)
├─bioset(145)
├─bioset(146)
├─cpuhp/0(12)
├─cpuhp/1(13)
├─crypto(28)
├─devfreq_wq(32)
├─ext4-rsv-conver(189)
├─ipv6_addrconf(48)
├─jbd2/sda1-8(188)
├─kauditd(220)
├─kblockd(31)
├─kcompactd0(24)
├─kdevtmpfs(19)
├─khugepaged(27)
├─khungtaskd(21)
├─kintegrityd(29)
├─ksmd(25)
├─ksoftirqd/0(3)
├─ksoftirqd/1(16)
├─kswapd0(34)
├─kthrotld(47)
├─kworker/0:0(4498)
├─kworker/0:0H(5)
├─kworker/0:1(26)
├─kworker/0:1H(149)
├─kworker/0:2(5779)
├─kworker/1:0(6349)
├─kworker/1:0H(18)
├─kworker/1:1(5358)
├─kworker/1:1H(151)
├─kworker/1:2(88)
├─kworker/u64:0(6291)
├─kworker/u64:6(140)
├─kworker/u64:7(141)
├─lru-add-drain(10)
├─migration/0(9)
├─migration/1(15)
├─netns(20)
├─oom_reaper(22)
├─rcu_bh(8)
├─rcu_sched(7)
├─scsi_eh_0(120)
├─scsi_eh_1(122)
├─scsi_eh_2(125)
├─scsi_eh_3(127)
├─scsi_eh_4(129)
├─scsi_eh_5(131)
├─scsi_eh_6(133)
├─scsi_eh_7(135)
├─scsi_tmf_0(121)
├─scsi_tmf_1(123)
├─scsi_tmf_2(126)
├─scsi_tmf_3(128)
├─scsi_tmf_4(130)
├─scsi_tmf_5(132)
├─scsi_tmf_6(134)
├─scsi_tmf_7(136)
├─vmstat(35)
├─watchdog/0(11)
├─watchdog/1(14)
├─watchdogd(33)
└─writeback(23)
查看当前用户的进程,以分析是否有其他用户的恶意程序在运行:
root@debian-gnu-linux-vm:/home/parallels# ps -f -u root
UID PID PPID C STIME TTY TIME CMD
root 1 0 0 20:51 ? 00:00:01 /sbin/init
root 2 0 0 20:51 ? 00:00:00 [kthreadd]
root 3 2 0 20:51 ? 00:00:00 [ksoftirqd/0]
root 5 2 0 20:51 ? 00:00:00 [kworker/0:0H]
root 7 2 0 20:51 ? 00:00:00 [rcu_sched]
root 8 2 0 20:51 ? 00:00:00 [rcu_bh]
root 9 2 0 20:51 ? 00:00:00 [migration/0]
root 10 2 0 20:51 ? 00:00:00 [lru-add-drain]
root 11 2 0 20:51 ? 00:00:00 [watchdog/0]
root 12 2 0 20:51 ? 00:00:00 [cpuhp/0]
root 13 2 0 20:51 ? 00:00:00 [cpuhp/1]
root 14 2 0 20:51 ? 00:00:00 [watchdog/1]
root 15 2 0 20:51 ? 00:00:00 [migration/1]
root 16 2 0 20:51 ? 00:00:00 [ksoftirqd/1]
root 18 2 0 20:51 ? 00:00:00 [kworker/1:0H]
root 19 2 0 20:51 ? 00:00:00 [kdevtmpfs]
root 20 2 0 20:51 ? 00:00:00 [netns]
root 21 2 0 20:51 ? 00:00:00 [khungtaskd]
root 22 2 0 20:51 ? 00:00:00 [oom_reaper]
root 23 2 0 20:51 ? 00:00:00 [writeback]
root 24 2 0 20:51 ? 00:00:00 [kcompactd0]
root 25 2 0 20:51 ? 00:00:00 [ksmd]
root 26 2 0 20:51 ? 00:00:00 [kworker/0:1]
root 27 2 0 20:51 ? 00:00:00 [khugepaged]
root 28 2 0 20:51 ? 00:00:00 [crypto]
root 29 2 0 20:51 ? 00:00:00 [kintegrityd]
root 30 2 0 20:51 ? 00:00:00 [bioset]
root 31 2 0 20:51 ? 00:00:00 [kblockd]
root 32 2 0 20:51 ? 00:00:00 [devfreq_wq]
root 33 2 0 20:51 ? 00:00:00 [watchdogd]
root 34 2 0 20:51 ? 00:00:00 [kswapd0]
root 35 2 0 20:51 ? 00:00:00 [vmstat]
root 47 2 0 20:51 ? 00:00:00 [kthrotld]
root 48 2 0 20:51 ? 00:00:00 [ipv6_addrconf]
root 84 2 0 20:51 ? 00:00:00 [ata_sff]
root 88 2 0 20:51 ? 00:00:00 [kworker/1:2]
root 120 2 0 20:51 ? 00:00:00 [scsi_eh_0]
root 121 2 0 20:51 ? 00:00:00 [scsi_tmf_0]
root 122 2 0 20:51 ? 00:00:00 [scsi_eh_1]
root 123 2 0 20:51 ? 00:00:00 [scsi_tmf_1]
root 125 2 0 20:51 ? 00:00:00 [scsi_eh_2]
root 126 2 0 20:51 ? 00:00:00 [scsi_tmf_2]
root 127 2 0 20:51 ? 00:00:00 [scsi_eh_3]
root 128 2 0 20:51 ? 00:00:00 [scsi_tmf_3]
root 129 2 0 20:51 ? 00:00:00 [scsi_eh_4]
root 130 2 0 20:51 ? 00:00:00 [scsi_tmf_4]
root 131 2 0 20:51 ? 00:00:00 [scsi_eh_5]
root 132 2 0 20:51 ? 00:00:00 [scsi_tmf_5]
root 133 2 0 20:51 ? 00:00:00 [scsi_eh_6]
root 134 2 0 20:51 ? 00:00:00 [scsi_tmf_6]
root 135 2 0 20:51 ? 00:00:00 [scsi_eh_7]
root 136 2 0 20:51 ? 00:00:00 [scsi_tmf_7]
root 140 2 0 20:51 ? 00:00:00 [kworker/u64:6]
root 141 2 0 20:51 ? 00:00:00 [kworker/u64:7]
root 145 2 0 20:51 ? 00:00:00 [bioset]
root 146 2 0 20:51 ? 00:00:00 [bioset]
root 149 2 0 20:51 ? 00:00:00 [kworker/0:1H]
root 151 2 0 20:51 ? 00:00:00 [kworker/1:1H]
root 188 2 0 20:51 ? 00:00:00 [jbd2/sda1-8]
root 189 2 0 20:51 ? 00:00:00 [ext4-rsv-conver]
root 218 1 0 20:51 ? 00:00:01 /lib/systemd/systemd-journald
root 220 2 0 20:51 ? 00:00:00 [kauditd]
root 233 1 0 20:51 ? 00:00:00 /lib/systemd/systemd-udevd
root 380 1 0 20:51 ? 00:00:00 /usr/sbin/rsyslogd -n
root 385 1 0 20:51 ? 00:00:00 /usr/sbin/ModemManager
root 387 1 0 20:51 ? 00:00:00 /usr/lib/accountsservice/account
root 390 1 0 20:51 ? 00:00:00 /lib/systemd/systemd-logind
root 391 1 0 20:51 ? 00:00:00 /usr/sbin/cron -f
root 420 1 0 20:51 ? 00:00:00 /usr/sbin/NetworkManager --no-da
root 422 1 0 20:51 ? 00:00:00 /usr/lib/policykit-1/polkitd --n
root 540 420 0 20:51 ? 00:00:00 /sbin/dhclient -d -q -sf /usr/li
root 541 1 0 20:51 ? 00:00:00 /usr/bin/prltoolsd -p /var/run/p
root 547 541 0 20:51 ? 00:00:00 /usr/bin/prltoolsd -p /var/run/p
root 548 541 0 20:51 ? 00:00:00 prlshprint
root 555 541 0 20:51 ? 00:00:00 prltimesync
root 648 1 0 20:51 ? 00:00:00 /usr/sbin/gdm3
root 900 648 0 20:51 ? 00:00:00 gdm-session-worker [pam/gdm-laun
root 920 917 0 20:51 tty1 00:00:00 /usr/lib/xorg/Xorg vt1 -displayf
root 951 1 0 20:51 ? 00:00:00 /usr/lib/upower/upowerd
root 1006 1 0 20:51 ? 00:00:03 /usr/lib/packagekit/packagekitd
root 1010 1 0 20:51 ? 00:00:00 /sbin/wpa_supplicant -u -s -O /r
root 1099 648 0 20:51 ? 00:00:00 gdm-session-worker [pam/gdm-pass
root 1107 1 0 20:51 ? 00:00:00 /usr/sbin/minissdpd -i 0.0.0.0
root 1154 1152 0 20:51 tty2 00:00:05 /usr/lib/xorg/Xorg vt2 -displayf
root 1313 1 0 20:52 ? 00:00:00 /usr/lib/udisks2/udisksd --no-de
root 3443 3313 0 20:54 pts/0 00:00:00 sudo su
root 3459 3443 0 20:54 pts/0 00:00:00 su
root 3460 1 0 20:54 ? 00:00:00 /lib/systemd/systemd --user
root 3461 3460 0 20:54 ? 00:00:00 (sd-pam)
root 3465 3459 0 20:54 pts/0 00:00:00 bash
root 3895 1 0 20:56 ? 00:00:00 /usr/sbin/cupsd -l
root 3896 1 0 20:56 ? 00:00:00 /usr/sbin/cups-browsed
root 5358 2 0 21:04 ? 00:00:00 [kworker/1:1]
root 5779 2 0 21:06 ? 00:00:00 [kworker/0:2]
root 6291 2 0 21:09 ? 00:00:00 [kworker/u64:0]
root 6349 2 0 21:09 ? 00:00:00 [kworker/1:0]
root 7024 3465 0 21:13 pts/0 00:00:00 ps -f -u root
查看指定进程:
root@debian-gnu-linux-vm:/home/parallels# ps -C systemd
PID TTY TIME CMD
1 ? 00:00:01 systemd
911 ? 00:00:00 systemd
1139 ? 00:00:00 systemd
3460 ? 00:00:00 systemd
根据CPU或内存进行排序:
netstat的使用:
0x05 WEP和WPA原理与破解
在这里,叫出了我的宝贝Kali,并使用无线网卡。
WPA和WPA2的破解可以参考我以前的破解无线的博客,一样的。
WEP的破解:
使用CDlinux,小巧灵活,有点傻瓜式
打开桌面上的minidwep-gtk工具:
设置完毕后,点击扫描:
必须选择有客户端的无线网卡,因为最后一个信号最强的(我家的,不违法):
选择后,点击启动:
选择字典进行破解:
因为这个密码包是符合外国人的,如果跑不出来,则进行后续操作:
将包拷出来,再进行后面的爆破就可以了。或者在爆破之前将一个强大的字典放入进去。
0x06 风险管理、风险评估
信息安全风险是指一种特定威胁利用一种或一组脆弱性造成组织的信息相关资产或损害的可能性。是指保密性、完整性和可用性遭到破坏的可能性。
信息安全风险评估是依据有关信息安全技术与管理标准,对信息系统及由其处理、传输和存储的信息的保密性、完整性和可用性等安全属性进行评价的过程。它钥评估资产面临的威胁以及威胁利用脆弱性导致安全事件的可能性,并结合安全事件所涉及的资产价值来判断安全事件一旦发生对组织造成的影响。
风险处理时选择并且执行措施来更改风险的措施。
风险处理:降低风险、规避风险、接受风险、避免风险。
信息安全评估:
信息安全风险评估标准GB20984文档,请前往我的资源https://download.csdn.net/download/qq_37865996/10940882查看。