【正文】 在 Windows世界中 ， 這可以通過兩種方式之一來實(shí)現(xiàn)：通過命令行界面 ， 例如類似于 tel的連接 ， 或者通過圖形化的界面 ， 例如 PCAnywhere、 Microsoft終端服務(wù)器或其他類似的遠(yuǎn)程控制產(chǎn)品 ? 當(dāng)然 ， 攻擊者不會(huì)希望使用這種重量級(jí)的技術(shù) ， 他們需要的是小的 、易于隱藏的控制方法 命令行控制 ? ? ?Net use (直接使用 ) ? Windows NT/2022 Resource Kit ?式 ?要使用 Windows系統(tǒng)的命令行控制 ， 你必須進(jìn)行如下步驟的操作： 1. 與目標(biāo)之間創(chuàng)建管理連接： C:\ use \\\ipc$ password /u:administrator 2. 將一個(gè)驅(qū)動(dòng)器映射到管理共享 C$： C:\ use * \\\c$ Drive D: is now connected to \\\c$. The mand pleted successfully. 3. 將 ： C:\copy d:\winnt\system32 4. 調(diào)用 sc命令啟動(dòng)計(jì)劃任務(wù)服務(wù)： C:\sc \\ start schedule 5. 確定遠(yuǎn)程系統(tǒng)上的時(shí)間： C:\ time \\ at命令啟動(dòng) ， 。 很少有攻擊者會(huì)滿足于他所獲得的 “ 管理 ” 成就并滿意地離開 。 在受到保護(hù)的網(wǎng)絡(luò)中使用 SMB服務(wù) ， 確保全部的網(wǎng)絡(luò)基礎(chǔ)設(shè)施不允許SMB通信到達(dá)不受信任的結(jié)點(diǎn)上 ? 配置網(wǎng)絡(luò)中所有的 Windows系統(tǒng) ， 禁止 LM散列在網(wǎng)絡(luò)中的傳播 禁止發(fā)送 LM散列 使用 SMBRelay捕獲 SMB認(rèn)證 ? SMBRelay實(shí)際上是一個(gè) SMB服務(wù)器 ， 它能夠從到來的SMB通信中收集用戶名和密碼散列 ? 顧名思義 ， SMBRelay不僅能夠?qū)崿F(xiàn)虛假的 SMB終端的功能 —— 在特定的情況下 ， 它還能夠進(jìn)行中間人 (maninthemiddle， MITM)攻擊 建立假的 SMB服務(wù)器 C:\smbrelay /E SMBRelay ?TCP (NetBT) level SMB maninthemiddle relay attack Copyright 2022: Sir Dystic, Cult of the Dead Cow Send plaints, ideas and donations to [2] ETHERNET CSMACD ?3Com 10/100 Mini PCI Ether Adapter [1] SOFTWARE LOOPBACK ?MS TCP Loopback interface 啟動(dòng)假的 SMB服務(wù)器 C:\smbrelay /IL 2 /IR 2 ；在序號(hào)為 2的網(wǎng)絡(luò)接口上建立 SMBRelay ?TCP (NetBT) level SMB maninthemiddle relay attack Copyright 2022: Sir Dystic, Cult of the Dead Cow Send plaints, ideas and donations to Using relay adapter index 2: 3Com EtherLink PCI 等待并捕獲 SMB連接 Connection from :1526 …… Request type: Session Message 137 bytes …… Username: administrator Domain: CAESARSTS OS: Windows 2022 2195 Lanman type: Windows 2022 Password hash written to disk 權(quán)限提升 ?NetDDE 權(quán)限提升 ? 權(quán)限提升通常是指提升當(dāng)前用戶賬戶的能力 ， 達(dá)到具有更 高 權(quán) 限 的 賬 戶 ， 通 常 是 超 級(jí) 用 戶 ， 例如Administrator或 SYSTEM的過程 ? 從惡意黑客的角度來說 ， 獲取一個(gè)普通賬戶 ， 然后進(jìn)行權(quán)限提升攻擊 ， 比遠(yuǎn)程進(jìn)行攻擊直接獲取超級(jí)用戶權(quán)限要容易得多 ? 不管在哪種情況下 ， 無論他達(dá)到了什么特權(quán)級(jí)別 ， 通過認(rèn)證的攻擊者都比未通過認(rèn)證時(shí)要有很多達(dá)到目的的選擇 作為 SYSTEM身份運(yùn)行的 NetDDE ? 2022年 2月 ， stake的 Dildog發(fā)現(xiàn)了 Windows 2022的網(wǎng)絡(luò)動(dòng)態(tài)數(shù)據(jù)交換服務(wù) (Network Dynamic Data Exchange Service， NetDDE)中的一個(gè)漏洞 ， 這個(gè)漏洞允許本地用戶以 SYSTEM特權(quán)運(yùn)行任意的命令 ? NetDDE是使應(yīng)用程序通過 “ 受信任的共享 ” 來共享數(shù)據(jù)的一種技術(shù) 。 即使是強(qiáng)健的口令散列也能在一個(gè)月內(nèi)破解掉 LAN Manager的口令散列機(jī)制 ?長(zhǎng)的口令被截成 14個(gè)字符 ? 短的口令被填補(bǔ)空格變成 14個(gè)字符 ?口令中所有的字符被轉(zhuǎn)換成大寫 ?口令被分割成兩個(gè) 7個(gè)字符的片斷 LAN Manager的口令散列機(jī)制 ? LM算法是從賬戶密碼的兩個(gè)獨(dú)立的 7個(gè)字符分段創(chuàng)建用戶的散列的 ? 前 8個(gè)字節(jié)來自于用戶密碼的前 7個(gè)字符 ， 隨后的 8個(gè)字節(jié)來自于密碼的第 8~14個(gè)字符 LAN Manager的口令散列機(jī)制 ? 每塊都可以通過對(duì)所有可能的 8字節(jié)組合進(jìn)行窮舉攻擊而猜出 ? 攻擊全部的 8字節(jié) “ 字符空間 ” 對(duì)于現(xiàn)代的桌面計(jì)算機(jī)處理器來說是很輕松的事情 ? 如果攻擊者能夠發(fā)現(xiàn)用戶的 LM散列 ， 那么他們最終破解得到實(shí)際的明文密碼就很可能了 LC4phtcrack L0phtcrack的局限性 ? 只能從共享介質(zhì)中捕獲質(zhì)詢 應(yīng)答通信 ? 目前還不能從兩個(gè) Windows 2022系統(tǒng)間的登錄交換中獲取散列 ? 通過網(wǎng)絡(luò)監(jiān)聽破解質(zhì)詢 應(yīng)答散列所需的時(shí)間隨著添加的密碼散列數(shù)量而線性增長(zhǎng) ? 在使用 SMBCapture之前 ， WinPcap 程序必須成功安裝和運(yùn)行 ? 目前還不能從 NTLMv2質(zhì)詢 應(yīng)答通信中得到散列 欺騙－ 將 SMB登錄重定向到攻擊者 ? 假設(shè)攻擊者能夠欺騙用戶連接到他所指定的 SMB服務(wù)器上去 ， 捕獲 LM應(yīng)答就變得容易多 ? L0phtcrack的早期版本中曾經(jīng)建議了一種最基本的欺騙方法：向目標(biāo)用戶發(fā)送一封電子郵件 ， 其中嵌入假冒的 SMB服務(wù)器的超級(jí)鏈接 。amp。amp。 這些賬戶也可能會(huì)使用在創(chuàng)建該賬戶時(shí)指定的默認(rèn)密碼 ， 這是很容易猜出的 (通常會(huì)使用單位的名稱 ， 或者是Wele(歡迎 )等單詞 ） ? 最近一定時(shí)期內(nèi)沒有登錄過的賬戶 同樣 ， 使用頻率很低的賬戶也是維護(hù)工作的疏忽所導(dǎo)致的 ， 它們的密碼通常也比較容易猜出 避免賬戶鎖定－探測(cè)鎖定 閾 值 ? Enum – p ? Guest帳戶猜測(cè) 在 Windows 2022上 ， Guest賬戶在默認(rèn)情況下是被禁用的 ，但是如果你達(dá)到了鎖定閾值 ， 你仍然能夠收到提示 Guest猜測(cè) ? C:\ use \\\ipc$ * /u:guest Type the password for \\mgmgrand\ipc$: System error 1326 has occurred. Logon failure: unknown user name or bad password. ? C:\ use \\\ipc$ * /u:guest Type the password for \\mgmgrand\ipc$: System error 1909 has occurred. The referenced account is currently locked out and may not be logged on to. Guest猜測(cè) ? 在猜測(cè) Guest(或其他賬戶 )的密碼時(shí) ， 需要注意的另外一件事是如果你確實(shí)猜對(duì)了一個(gè)已經(jīng)被禁用賬戶的密碼 ， 那么將會(huì)出現(xiàn)另一種不同的錯(cuò)誤消息： C:\ use \\\ipc$ * /u:guest Type the password for \\mgmgrand\ipc$: System error 1331 has occurred. Logon failure: account currently disabled. ? 在 Windows 2022中 ， Guest賬戶的密碼默認(rèn)為空 。例如類似于 backup(備份 )或 admin(管理 )這樣的賬戶名稱 。 那些不愿意記住復(fù)雜密碼的 “ 不幸的 ” 用戶經(jīng)常在注釋字段中有很多提示 ， 其有助于密碼猜測(cè) ? Administrators組或 Domain Admins組的成員 這些賬戶通常是攻擊者的目標(biāo) ， 因?yàn)樗鼈儞碛斜镜叵到y(tǒng)或域的至高無上的權(quán)限 。 ? Windows2022下 本地安全策略 審核策略中打開相應(yīng)的審核 推薦的審核是： 賬戶管理 成功 失敗 登錄事件 成功 失敗 對(duì)象訪問 失敗 策略更改 成功 失敗 特權(quán)使用 失敗 系統(tǒng)事件 成功 失敗 目錄服務(wù)訪問 失敗 賬戶登錄事件 成功 失敗 安全日志 ? ? WindowsNT下 – 程序 ?管理工具 ?域用戶管理器 ?規(guī)則 ?審核 – 謹(jǐn)慎打開“進(jìn)程追蹤”，否則大量的日志信息反而可能使審核困難 – 文件及對(duì)象訪問”必須同時(shí)在“文件屬性”的“審核”設(shè)置審核的事件 安全日志 Site Domain OU Windows 2022 連續(xù)執(zhí)行 Users Computers 管理者只設(shè)置組策略一次 Group Policy 組策略 ? 是安全的，僅僅管理員能更改設(shè)置 ? 確保用戶有適合他們工作的環(huán)境 ? 與站點(diǎn)、域、組織單元相關(guān)聯(lián)，作用于其中的用戶和計(jì)算機(jī) 組策略設(shè)置類型 組策略設(shè)置的類型 管理模板 基于注冊(cè)表的組策略設(shè)置 安全設(shè)置 設(shè)置本地，域及網(wǎng)絡(luò)安全 軟件安裝 設(shè)置集中化管理和軟件安裝 腳本 設(shè)置開機(jī)、關(guān)機(jī)或者用戶登陸、退出時(shí)運(yùn)行的腳本 遠(yuǎn)程安裝服務(wù) 當(dāng)運(yùn)行遠(yuǎn)程安裝服務(wù) (RIS)的遠(yuǎn)程安裝向?qū)r(shí)，控制用戶可能的選項(xiàng)設(shè)置 Inter瀏覽維護(hù) 管理和定制基于 Windows 2022的 IE的設(shè)置 文件夾重定向 網(wǎng)絡(luò)服務(wù)器上用戶文件夾的設(shè)置 安全策略 ? 帳戶策略 ? 本地策略 ? 事件日志 ? 受限組 ? 系統(tǒng)服務(wù) ? 注冊(cè)表 ? 文件系統(tǒng) ? FPORT C 系統(tǒng)自帶 stat查看機(jī)器開放的端口，也可以任務(wù)管理器來查看當(dāng)前機(jī)器的進(jìn)程，但是這兩個(gè)東西都有自身的缺點(diǎn)，由于stat由于設(shè)計(jì)的原因很多開放的端口無法查出，而使用任務(wù)管理器的時(shí)候只能查看到進(jìn)程的名字，如果一個(gè)惡意的攻擊者把木馬命名為 ,，這樣就能很好麻痹一些管理員，由于這些文件可能在一臺(tái) web服務(wù)器上存在多個(gè)進(jìn)程，然后給這個(gè)木馬定義一個(gè)很象 RPC的端口，不仔細(xì)查真的很難查找得到， FPORT就彌補(bǔ)了 stat和 taskbar的不足 C 該軟件可以得到所有端口對(duì)應(yīng)的文件有完整的路徑名，可以避免有些木馬程序使用系統(tǒng)服務(wù)的文件名，而將其放在非系統(tǒng)目錄，無法在 Task Manager里察覺，這個(gè)時(shí)候 FPort的優(yōu)勢(shì)就體現(xiàn)出來了 C 下載地址： 安全工具 ? fport運(yùn)行示例： – Pid Process Port Proto Path – 400 svchost 135 TCP C:\WINNT\system32\ – 8 System 139 TCP – 8 System 445 TCP – 8 System 1028 TCP – 872 rsvp 1047 TCP C:\WINNT\System32\ – 624 WinMgmt 1048 TCP C:\WINNT\System32\WBEM\ – 624 WinMgmt 1049 TCP C:\WINNT\System32\WBEM\ – 540 iinfo 1054 TCP C:\WINNT\System32\isrv\ – 1616 msdtc 2692 TC