【正文】 – 權(quán)限 :可以授予用戶或組的文件系統(tǒng)能力。 操作系統(tǒng)安全 2022年 2月 5日 安全標(biāo)識符 SID ? Win NT/2K內(nèi)部對安全主體的操作是通過一個稱為安全標(biāo)識符(Security Identifier， SID)的全局惟一的 48位數(shù)字來進(jìn)行的 ? SID是對每一個用戶和工作組分配的唯一的標(biāo)志號 ? 內(nèi)部進(jìn)程引用帳戶的 SID而不是用戶名和帳號 – 同一臺機(jī)器上，刪除一個帳號，再建立同用戶名的帳號，其 SID也不同，不能繼承前用戶的訪問權(quán)限 操作系統(tǒng)安全 2022年 2月 5日 SID的格式 ? S1521150700133312045507641011284298500 ? SID帶有前綴 S，它的各個部分之間用連字符隔開 ? 第一個數(shù)字 (本例中的 1)是修訂版本編號 ? 第二個數(shù)字是標(biāo)識符頒發(fā)機(jī)構(gòu)代碼 (對 Win2K來說總是為 5) ? 后面是 4個子頒發(fā)機(jī)構(gòu)代碼 (本例中是 21和后續(xù)的 3個長數(shù)字串 ) ? 最后一個是相對標(biāo)識符 (Relative Identifier， RID，本例中是 500) 操作系統(tǒng)安全 2022年 2月 5日 RID ? RID對所有的計(jì)算機(jī)和域來說都是一個常數(shù)。 or 1=1 and password=39。XXX39。 將 nvarchar 值 39。Microsoft SQL Server 2022 (Intel X86) Dec 17 2022 14： 22： 05 Copyright (c) 19882022 Microsoft Corporation Standard Edition on Windows NT (Build 2195： Service Pack 4) 39。 之前有未閉合的引號。 – 使用目標(biāo)機(jī)忙于處理 UDP報文，無法處理其它的正常報文，從而形成拒絕服務(wù) 2022年 2月 5日 安全基礎(chǔ)知識 ICMP Flood ? 原理 – 利用 ping對網(wǎng)絡(luò)進(jìn)行診斷，發(fā)出 ICMP 響應(yīng)請求報文 – 計(jì)算機(jī)收到 ICMP echo后會回應(yīng)一個 ICMP echo reply報文 – 攻擊者向目標(biāo)機(jī)發(fā)送大量的 ICMP echo報文 – 目標(biāo)機(jī)忙于處理這些報文，無法處理其它網(wǎng)絡(luò)報文，從而形成拒絕服務(wù) 2022年 2月 5日 安全基礎(chǔ)知識 UDP Flood攻擊案例 ? 冒險島三區(qū)服務(wù)器受到 DDOS攻擊事件 – 異常：發(fā)現(xiàn)大量發(fā)往 UDP 8585端器的 UDP包 – 影響：端口流出流量 上層交換機(jī)上聯(lián)端口流量 – 處理方法：在 6509上配置 ACL過濾攻擊報文 2022年 2月 5日 安全基礎(chǔ)知識 DDOS攻擊介紹 (1) ? 分布式拒絕服務(wù)（ DDOS） – Distributed Denial of Service – 傳統(tǒng)的拒絕服務(wù)是一臺機(jī)器向受害者發(fā)起攻擊 – DDOS攻擊是多臺主機(jī)合作，同時向一個目標(biāo)發(fā)起攻擊 2022年 2月 5日 安全基礎(chǔ)知識 DDOS攻擊介紹 (2) 主控端 代理端 2022年 2月 5日 安全基礎(chǔ)知識 模擬試題 1 ? 下面哪項(xiàng)不是 Syn flood攻擊的特征？ A 網(wǎng)絡(luò)流量異常增大 B 服務(wù)器 80端口建立了大量的 TCP連接 C 服務(wù)器收到大量的 SYN請求 D 未連接隊(duì)列超過上限 2022年 2月 5日 安全基礎(chǔ)知識 特洛依木馬 ? 木馬的由來 – 古希臘人圍攻特洛伊城時使用的木馬計(jì) – 計(jì)算機(jī)中的特洛伊木馬的名字就是由此得來 ? 定義 – 隱藏在正常程序中的一段具有特殊功能的程序，其隱蔽性極好，不易察覺，是一種極為危險的網(wǎng)絡(luò)攻擊手段 ? 木馬的組成 – server端：安裝在目標(biāo)機(jī)器上的軟件 – client端：用于控制目標(biāo)機(jī)器的軟件 2022年 2月 5日 安全基礎(chǔ)知識 木馬入侵的途徑 ? 捆綁欺騙 – 如把木馬服務(wù)端和某個游戲捆綁成一個文件后中發(fā)給別人 ? 危險下載點(diǎn) – 攻破下載站點(diǎn)后，下載幾個下載量大的軟件，捆綁上木馬，再悄悄放回去讓別人下載 ； – 直接將木馬改名上載到 FTP網(wǎng)站上，等待別人下載 ? 網(wǎng)站掛馬 – 在網(wǎng)站的網(wǎng)頁中植入木馬或插入下載木馬的連接 – 主要是利用 IE瀏覽器的漏洞 ? 利用系統(tǒng)漏洞入侵后安裝木馬 2022年 2月 5日 安全基礎(chǔ)知識 木馬的特征 ? 隱蔽性 – 包含在正常程序中，當(dāng)用戶執(zhí)行正常程序啟動 – 在用戶難以察覺的情況下，完成一些危害用戶的操作 – 沒有圖標(biāo) ,在任務(wù)管理器中隱藏 ? 自動運(yùn)行 – 增加一個服務(wù) – 注冊表啟動項(xiàng) run ? 功能的特殊性 – 除了文件操作、設(shè)置口令、進(jìn)行鍵盤記錄、遠(yuǎn)程注冊表操作 – 上傳、下載以及鎖定鼠標(biāo)等功能 2022年 2月 5日 安全基礎(chǔ)知識 木馬的隱藏方式 ? 隱藏進(jìn)程、端口 ? 隱藏文件、目錄 ? 被控端反向連接控制端 ? 端口復(fù)用 – 有些木馬在使用 80HTTP端口后，收到正常的 HTTP請求仍然把它交給 Web服務(wù)器處理，只有收到一些特殊約定的數(shù)據(jù)包后，才調(diào)用木馬程序 ? 隱身技術(shù) – 采用替代系統(tǒng)功能的方法 (改寫 vxd或 DLL文件 )，木馬會將修改后的 DLL替換系統(tǒng)已知的DLL，并對所有的函數(shù)調(diào)用進(jìn)行過濾 ? 文件加殼 – 通過加殼隱藏特征，躲避殺毒軟件的查殺 2022年 2月 5日 安全基礎(chǔ)知識 典型木馬 灰鴿子 ? 灰鴿子是國內(nèi)著名的木馬 ? 遠(yuǎn)程控制、文件操作 ? 運(yùn)用 “反彈端口”突破防火墻 ? 服務(wù)端上線通知 ? 遠(yuǎn)程音頻通訊，音視頻監(jiān)控 2022年 2月 5日 安全基礎(chǔ)知識 風(fēng)云項(xiàng)目服務(wù)器中木馬案例 ? HIDS監(jiān)測到異常文件 – 病毒或木馬 20220316 01:16:10 999021372 感染文件=//?/C:/WINDOWS/ 風(fēng)云測試區(qū)測試組 loginserver ? 使用殺毒軟件掃描 ? 文件加殼 ? 木馬以 webclient服務(wù)啟動 2022年 2月 5日 安全基礎(chǔ)知識 SQL注入 ? 利用 SQL的語法，針對的是應(yīng)用程序開發(fā)設(shè)計(jì)中的漏洞 ? 當(dāng)攻擊者能夠操作數(shù)據(jù)，往應(yīng)用程序中插入一些 SQL語句時， SQL注入就發(fā)生了 ? 攻擊目標(biāo)：控制服務(wù)器 /獲取敏感數(shù)據(jù) 2022年 2月 5日 安全基礎(chǔ)知識 SQL 注入的步驟 ? 判斷 SQL注入漏洞 ? 查找 SQL注入點(diǎn) ? 判斷后臺數(shù)據(jù)庫類型 ? 確定 XP_CMDSHELL可執(zhí)行情況 ? 獲得后臺管理的權(quán)限 2022年 2月 5日 安全基礎(chǔ)知識 判斷 SQL注入漏洞 ? 語句 select * from 表名 where 字段 =49?（ ） ? 返回 Microsoft OLE DB Provider for SQL Server 錯誤 39。 – Tcpdump ? 在共享網(wǎng)絡(luò)中，可以監(jiān)聽所有流量 ? 在交換環(huán)境中，必須設(shè)置端口鏡像 ? 通過協(xié)議分析，可獲取敏感的明文信息 – Tel、 smtp、 pop ftp、 等應(yīng)用層協(xié)議都是明文傳輸 2022年 2月 5日 安全基礎(chǔ)知識 共享和交換環(huán)境下的監(jiān)聽 ? 共享式網(wǎng)絡(luò) – 通過網(wǎng)絡(luò)的所有數(shù)據(jù)包發(fā)往每一個主機(jī) – 通過 HUB連接起來的子網(wǎng) – 可以直接監(jiān)聽 ? 交換式網(wǎng)絡(luò) – 通過交換機(jī)連接網(wǎng)絡(luò) – 由交換機(jī)構(gòu)造一個“ MAC地址 端口”映射表 – 發(fā)送包的時候，只發(fā)到特定的端口上 – 可以通過配置“端口鏡像”來實(shí)現(xiàn)監(jiān)聽 2022年 2月 5日 安全基礎(chǔ)知識 利用監(jiān)聽獲取郵件密碼 ? 截獲用戶郵件口令 2022年 2月 5日 安全基礎(chǔ)知識 冒險島抓包分析案例 ? 設(shè)置抓包服務(wù)器 ? 配置端口鏡像 ? 7x24小時抓包 ? 進(jìn)行協(xié)議分析 ? 判斷攻擊類型 2022年 2月 5日 安全基礎(chǔ)知識 拒絕服務(wù) DoS ? 定義 – 通過某些手段使得目標(biāo)系統(tǒng)或者網(wǎng)絡(luò)不能提供正常的服務(wù) – 是針對可用性發(fā)起的攻擊 ? 原理 – 主要是利用了 TCP/IP協(xié)議中存在的設(shè)計(jì)缺陷、操作系統(tǒng)或網(wǎng)絡(luò)設(shè)備的網(wǎng)絡(luò)協(xié)議棧存在的缺陷 ? 特點(diǎn) – 難于防范 2022年 2月 5日 安全基礎(chǔ)知識 拒絕服務(wù)的形式 ? 資源耗盡和資源過載 – 網(wǎng)絡(luò)連接 – 帶寬資源 – 其他資源，例如：磁盤空間被日志撐滿 ? 錯誤的配置 – 不當(dāng)?shù)呐渲迷斐赡承┓?wù)無法訪問 ? 物理部件故障 2022年 2月 5日 安全基礎(chǔ)知識 拒絕服務(wù)攻擊分類 ? 拒絕服務(wù)攻擊 – Syn Flood – Udp Flood – Icmp Flood – Ping of death – Teardrop – Smurf – Land ? 主要介紹 Syn flood、 UDP Flood、 ICMP Flood攻擊 2022年 2月 5日 安全基礎(chǔ)知識 Syn Flood攻擊 (1) ? TCP協(xié)議 – 提供可靠的連接服務(wù)，采用三次握手建立一個 TCP連接 – TCP連接三次握手過程 SYN SYN +ACK ACK Client Server SYN_SEND SYN_RECV ESTABLISHED ESTABLISHED 2022年 2月 5日 安全基礎(chǔ)知識 SYN Flood攻擊 (2) ? 原理： – 利用 TCP協(xié)議缺陷發(fā)送大量 TCP半連接請求，使得目標(biāo)機(jī)器不能進(jìn)一步接受 TCP連接 – 對 TCP而言，半連接是指一個沒有完成三次握手過程的會話 – 配合 IP欺騙 ,短時間內(nèi)不斷發(fā)送 SYN包，使服務(wù)器回復(fù) SYN/ACK,并不斷重發(fā)直至超時 – 偽造的 SYN包長時間占用未連接隊(duì)列，達(dá)到上限后，服務(wù)器將拒絕響應(yīng) SYN請求，正常的 SYN請求被丟棄 2022年 2月 5日 安全基礎(chǔ)知識 SYN Flood攻擊 (3) 攻擊者 Inter Code 目標(biāo) 欺騙性的 IP 包 源地址是偽造的 目標(biāo)地址是 TCP Open SYN 2022年 2月 5日 安全基礎(chǔ)知識 SYN Flood攻擊 (4) 攻擊者 Inter 目標(biāo) SYN+ACK 同步應(yīng)答響應(yīng) 源地址 目標(biāo)地址不存在 TCP ACK 未連接隊(duì)列 達(dá)到上限 2022年 2月 5日 安全基礎(chǔ)知識 SYN Flood攻擊案例 ?外高橋機(jī)房下載系統(tǒng) DLC服務(wù)器 SynFlood攻擊 2022年 2月 5日 安全基礎(chǔ)知識 UDP Flood攻擊 ? 原理： – UDP協(xié)議是無連接的協(xié)議，提供不可靠的傳輸服務(wù) – 不需要用任何程序建立連接來傳輸數(shù)據(jù) – 攻擊者向目標(biāo)機(jī)端口發(fā)送了足夠多的 UDP 數(shù)據(jù)包的時候，整個系統(tǒng)就會癱瘓。 Order By Id DESC39。 將 nvarchar 值 39。80040e0739。 /，行 290 ? 判斷 – 權(quán)限很高，可以確定是服務(wù)器角色組中的成員 2022年 2月 5日 安全基礎(chǔ)知識 執(zhí)行 XP_CMDSHELL ? 條件 – 當(dāng)前連接數(shù)據(jù)的帳號具有 SA權(quán)限 – ? 語句 – exec master..xp_cmdshell “ user aaa bbb /add” – exec master..xp_cmdshell “ localgroup aaa administrators /add” ? 結(jié)果 – 在操作系統(tǒng)中添加帳戶 aaa,密碼為 bbb – 將新建的帳戶 aaa加入管理員組 2022年 2月 5日 安全基礎(chǔ)知識 獲得 web后臺管理的權(quán)限 ? 后臺管理的認(rèn)證頁面一般有以下語句： select * from admin where username=39。abc39。 ? 最簡單的一個例子是本地的 Administrators組，放到該組中的用戶賬戶具有本地計(jì)算機(jī)的全部權(quán)限 操作系統(tǒng)安全 2022年 2月 5日 SAM (Security Accounts Manager) ? 在獨(dú)立的 Windows 2022計(jì)算機(jī)上 ， 安全賬戶管理器負(fù)責(zé)保存用戶賬戶名和口令的信息 ? SA