《网络攻击技术与实践》第七周作业

教材内容第七章总结

第七章Windouws操作系统安全攻防的内容进行学习。Windouws是目前市场上占统治地位的操作系统，到2010年，已经占据了百分之八十八的市场份额。基本结构分为运行于处理器特权模式的操作系统内核，已经运行在处理器非特权模式的用户空间代码，与UNIX一样，采用宏内核模式来进行架构，这也使得系统更容易遭受Rootkit的危害，为了应对这种攻击，采用数字签名的办法提高安全性。Windows操作系统中，有用户，用户组和计算机三大类，对于每个安全主体，空间和时间上都全局唯一的SID安全标识符来进行标识.对于Windows，远程攻击技术分为：远程口令猜测与破解攻击，攻击Windows网络服务，攻击Windows客户端及用户这三大类。Windows通过基于服务器消息块协议承载的文件与打印共享服务来为网络用户提供远程访问文件系统的和打印机的支持，所以SMB协议也成为了攻击者实施远程口令字猜测的攻击渠道，目前自动执行远程口令字猜测的工具有很多，其中比较流行的包括legin，enum，NTSscan等。攻击者在目标系统上达到自己的需求和目的后，一般还会在系统中植入远程控制系统，维持对这台主机的控制权，比如一些命令行远程控制工具Netcat，或者图形化远程控制工具，其中最著名的是VNC软件。

Windows操作系统基本框架

1、windows基本结构分为运行于处理器特权模式的操作系统内核以及运行在处理器非特权模式的用户，即为内核态和用户态。2、内核态：windows执行体、windows内核体、设备驱动程序、硬件抽象层、windows窗口与图形界面接口。3、用户态：系统支持进程、环境子系统服务进程、服务进程、用户应用软件、核心子系统DLL。 4、核心机制：进程和线程管理机制、内存管理机制、文件管理机制、注册表管理机制、网络管理机制。5、网络管理机制：网卡硬件驱动程序（物理层）、NDIS库以及miniport驱动程序（链路层）、TDI传输层（网络协议驱动）（网络层和传输层）、网络APID以及TDI客户端（会话层和表示层）、网络应用程序和服务进程（应用层）.

安全体系结构和机制

1、监控器模型：主体到客体的访问都通过监控器作中间，由引用监控器根据安全访问控制策略来进行授权访问，所有访问记录都由监控器生成审计日志。2、核心：SRM安全引用监控（内核中）、LSASS安全服务（用户态）、winlogon/netlogn、以及Eventlog 3、身份认证机制：安全主体：用户、用户组、计算机 身份认证：本地身份认证（winlogon进程、GINA图形化登录窗口与LSASS服务）、网络身份认证（NTLM、Lanman、kerberos） 4、授权与访问控制机制：对象：文件，目录，注册表键值，内核对象，同步对象，私有对象，管道，内存，通信接口。 属性组成：Owner SID，Group SID，DACL自主访问控制列表，SACL系统审计访问控制列表。 5、安全审计机制 6、其他安全机制：安全中心（防火墙、补丁自动更新、病毒防护），IPsec加载和验证机制，EPS加密文件系统，windows文件保护机制，捆绑的IE浏览器所提供的隐私保护和浏览器安全保护机制。

远程安全攻防技术

1、包括远程口令猜解攻击、windows网络服务攻击，windows客户端和用户攻击。2、生命周期：windows安全漏洞发现，利用与修补过程 安全漏洞公开披露信息 CVE,NVD,SecyrityFocus，OSVDB 针对特定目标的渗透测试攻击过程：漏洞扫描测试、查找针对发现漏洞的渗透代码、实施渗透测试 使用metasploit软件实施渗透测试：用户接口（CLI、Console，web，GUI） 3、远程口令猜解攻击: 远程口令猜解：SMB协议（tcp445、tcp139），其他包括WMI服务、TS远程桌面终端服务，MY SQL数据库服务、SharePoint。工具包括：Legion、enum、smbgrind、NTScan、XScan、流光 远程口令字交换通信窃听与破解：NTLM、Lanman、NTLMV2和kerberos网络认证协议的弱点。 远程口令猜解的防范：关闭不必要的易受攻击的网络服务、配置主机防火墙来限制某些端口服务、网络防火墙限制这些服务的访问、禁用过时且有安全缺陷的Lanman和NTLM、指定强口令策略。4、网络服务远程渗透攻击：针对NETBIOS服务的著名漏洞和攻击、针对SMB服务的著名漏洞和攻击、针对MSRPC服务的著名漏洞和攻击、针对windows系统上微软网络的远程渗透攻击、针对windows系统上第三方服务的远程渗透攻击。 防范措施：最基本的是尽量避免与消除这些渗透攻击所依赖的服务软件安全漏洞。

本地安全攻防技术

1、本地提权攻击：利用操作系统内核、特权用户启动程序中安全缺陷与漏洞，原因是服务器和桌面系统没有即时进行补丁更新。2、敏感信息窃取： windows系统口令密文提取技术（拷贝口令密文文件、rdisk工具备份、pwdumpx从SAM文件或者活动目录中提取口令密文） windows系统口令字破解技术（L0phtCrack、John theRipperCain） 用户敏感数据窃取：find、findstr、grep、meterpreter 本地敏感信息窃取防范：选择高强度、高防御的口令，使用更安全的加密明文算法，安全配置策略。

windows消灭踪迹

1、消灭踪迹：关闭审计功能、清理事件日志。 防范措施：事先设置系统审计和网络服务审计，日志记录在不可擦除的CDROM上。 2、远控和后门程序： 远控：命令行远控工具（Netcat，psexec，meterpreter），图形化远控工具（VNC,RemoteAdmin，PCanyware） 后门程序：国外（BO、BO2K），国内（冰河、灰鸽子、广外女生、PCshare、磁碟机、机器狗等） 防范措施：后门检测软件、杀软、rootkitrerealer、IcSword。

kali视频学习总结

主要学习了漏洞利用攻击Metaspoloit的使用，以及Meterpreter,漏洞利用攻击工具Metasploit后渗透测试，以及漏洞利用工具Beef。

Kali视频实践（遇到的问题及解决）

1.漏洞利用攻击Metaspoloit的使用

首先启动服务，

$service postgresql start $service metasploit start

路径介绍,路径如下,打开文件夹，查看，并在msf中输入相应的路径

打开目标主机，进行攻击测试，打开msfconsole

进行扫描漏洞测试，发现漏洞

选择exploit 查看参数

进行攻击测试，测试例子

最终测试结果

2.漏洞利用攻击Beef

命令行下启动beef

命令请求到，打开浏览器，输入密码，登录

打开Rawjavascript,,输入句子，弹出窗口

Beef默认不加载Metasploit的，如果要使用Metaspliot丰富的攻击模块，需要做些配置。

配置成功

3.kali漏洞利用之Meterpreter介绍

生成Meterpreter后门,在命令行下执行生成后门操作指令，可见文件夹出现了该后门文件。

查看文件夹下是否有该文件

进行set配置，

将生成的后门文件复制粘贴到目标主机，注意先关闭电脑主机的杀毒软件等，粘贴到主机上，然后在粘贴到目标主机。

读取哈希值

主界面的抓取

键盘操作的记录,在目标主机输入文件，进行查看，可见键盘操作内容

获取目标主机的密码，抓取明文操作

探究教材重要问题PE文件格式

一、基本结构

1、DOS头一般到节区头成为PE头部分，其下称为PE体。文件的内容一般可分为代码（.text）、数据（.data）、资源（.rsrc）,分别保存。
2、PE头与各节区的尾部存在一个区域，称为NULL填充，为了提高效率，计算机使用“最小基本单位”这一概念，文件/内存中节区的起始位置应该在各文件/内存最小单位的整数倍上。
3、RVA+ImageBase=VA 4、当DLL加载到进程虚拟内存指定位置时，可能该位置已经被占用，则需要使用重定位方式加载到其他空白的地方。
5、文件结束处有其他区域，是一些混杂的区域，包括重分配信息、符号表信息、行号信息以及字串表数据

二、PE头

1、DOS头：IMAGE_DOS_HEADER结构体中重要成员：e_magic:DOS签名（MZ)（文件开始为4D5A）、e_lfanew:指示NT头的偏移（根据不同文件有可变值）(Notepad.exe为000000E0小端序标识法)。
2、DOS存根：位于DOS头下方，是个可选项，大小不固定。多数由编译器或者汇编器自动生成。
3、NT头：IMAGE_NT_HEADERS重要成员：签名结构体（50450000h--“PE”00）、文件头和可选头，结构体大小为F8.
4、NT头：文件头：Machine（machine码）、NumberOfSections、SizeOfOptionalHeader、Characteristics（记住2000h和0002h两个值）
5、NT头：可选头：Magic、AddressOfEntryPoint、ImageBase、SectionAlignment/FileAlignment、SizeOfImage、SizeOfHeaders、Subsystem（区分文件）、NumberOfRvaAndSizes（数组大小）、DataDirectory（重要成员：EXPORT/IMPORT/RESOURCR/TLS Direction）
6、节区头

三、载入PE

1、PE被执行时，装载器为进程分配虚拟地址空间，在此情况下，并不是把完整的PE文件载入到磁盘中，而是做一个简单的内存映射。
2、PE装载器在内核中创建进程对象和主进程对象以及其他的内容。
3、PE装载器搜索输入表，装载应用程序所用的动态链接库，方式类似于应用程序的装载。
4、PE装载器执行PE文件首部所指定地址的代码，开始执行应用程序。

四、RVA TO RAW

RAW=RVA-VirtualAddress+PointToRawData
例子1：RVA=5000,求File Offset？
5000位于第一节区.text，假设基址为01000000则RAW=5000-1000+400=4400（这边需要文件和内存之间的映射关系）
例子2：RVA=13314，求File Offset
13314位于第三个节区.rsrc，RAW=13314-b000+8400=10714

五、IAT

1、IAT导入地址表：是一种表格，记录程序正在使用哪些库中的哪些函数。
2、DLL：加载DLL方式：显示链接，程序使用DLL加载，使用完毕后释放内存；隐式连接，程序开始时即一同加载DLL，程序终止时释放占用的内存。
3、DLL重定位：使得我们无法对实际地址硬编码，同时PE头中表示地址的是VA而不是RVA。

六、常用工具

1、PEID：通过搜索特征串搜索识别，不同语言编译的程序有固有的启动代码（可参见http://www.cnblogs.com/miaohj/p/5274211.html），被壳处理过的程序会留下与壳相关的软件信息，通过这些可以识别。下载地址：http://down.52pojie.cn/Tools/PEtools/
2、OllyDbg（OD）：可视化用户模式调试器，结合了动态调试和静态调试的功能。通过OD脱壳的方式介绍也可参见http://www.cnblogs.com/miaohj/p/5274211.html 。同时也可参见http://www.52pojie.cn/thread-234739-1-1.html的简单教程。下载地址：http://down.52pojie.cn/Tools/Debuggers/
3、IDA Pro（IDA）：静态反汇编工具。特性：交互和多处理器。能够详细分析文件各模块功能以及模块之间的复杂调用，准确分析函数的调用规范、参数和临时变量等信息。具体使用方式会在之后的学习中给出。下载地址：http://www.52pojie.cn/thread-319763-1-1.html

教材实践总结，课后实践

1.攻击者使用了什么破解工具进行攻击的?

答：攻击者利用了Unicode攻击针对Ms00-078/ms01-026)和针对Msadcs.dll中RDS漏洞(MS02-065)的msadc.pl渗透测试工具进行了攻击。

2.攻击者如何使用破解工具进入了控制系统？

答：通过确认Unicode攻击和msadc(2).pl渗透测试攻击工具凑效后，攻击者开始其一连串的攻击动作，试图进入并控制系统，攻击者接下来开始转向Unicode攻击，蜜罐主机连接213.116.251.162并下载了所制定的这些文件，并通过nc构建其一个远程shell通道，接着，攻击者连接6969端口，获得了访问权，并进入了交互式控制阶段。

3.攻击者获得系统的访问权后做了什么？

答：虽然能够通过MDAC RDS 以System账号运行任意指令，但攻击者仍然希望获得本地Administrator用户权限。会创建交互式控制本地权限提升攻击。

4.我们如何防止这样的攻击？

答：我们可以采取以下措施防止攻击
为这些漏洞打上补丁
禁用用不着的RDS等服务
防火墙封禁网络内部服务器发起的链接
为Web server 在单独的文件卷上设置虚拟根目录
使用NTFS文件系统，因为FAT几乎不提供安全功能
使用Lockdown 和URLScan等工具嘉庆web server

5.你觉得攻击者是否警觉了他的目标是一台蜜罐主机？

答：是，攻击者绝对意识到了他的目标是作为蜜罐主机的，因为他建立了一个文件，因为该目标主机作为rfp的个人网站，web服务器所使用的11S甚至没有更新rfp自己所发现的MDACRDS安全漏洞，很容易让攻击者意识到这是台蜜罐主机。

学习总结与感受

本周对第七章进行了学习，并看了5个视频，中间遇到很多问题，但通过询问积极学习都得到了解决，收获很大，一定要多请教他人，并且利用强大的网络。在实践时候一定要有耐心，结合视频，一点点的进行实践，通过逐渐学习，发现自己对网络安全等方面的知识的接受能力逐渐提高，但是还需要进行实践，并对每一步操作进行分析总结。

学习进度条

周次	教材学习	视频学习	博客积累	学习收获
第七周	第七章	视频26-30	+1	多进行实践，遇到问题进入平台进行查阅，CSDN也是一个很好的学习平台

参考资料

《网络攻防实践与技术》
KALI视频