内网渗透——权限维持
其他
2020-03-23 10:02:08
阅读次数: 0
一、权限维持:
- 当攻击者获取服务器权限后,通常会采用一些后门技术来维持自己当前得到的权限,服务器一旦被植入后门,那么攻击者下次进入就方便多了。
|
- 由于攻击可能被发现,会清除一些shell,导致目标丢失,所以需要留下后门来维持权限,达到持续控制的目的。
|
二、获取windows系统登陆账号:
- 系统登陆账号存储位置:C:\Windows\System32\config\SAM。
|
- 在Windows系统中,对用户账户的安全管理采用了SAM(Security Account Manager,安全账号管理)机制,用户账户以及密码经过Hash加密之后,都保存在SAM数据库中。
|
- SAM数据库保存在C:\WINDOWS\system32\config\SAM文件中,当用户登录系统时,首先就要与SAM文件中存放的账户信息进行对比,验证通过方可登录。系统对SAM文件提供了保护机制,无法将其复制或是删除,也无法直接读取其中的内容。
|
- LM加密:密码最多14位,如果口令不足14位,不足的部分用0补齐,把所有的字符转变为大写,然后分成两组,每组7位,分别加密,然后拼接在一起,就是最终的LM散列,本质是DES加密。
|
- NTLM加密:先将用户口令转变为unicode编码,再进行标准MD4单向哈希加密
|
- LM加密安全性远低于NTLM加密,因为NTLM加密它允许使用更长的密码,允许有大小写的不同,而且也无须把密码分割成更小、更易于被破解的块。所以在一个纯NTLM环境中,应该关闭Lan Manager加密方式。
|
- Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:AFFFEBA176210FAD4628F0524BFE1942:::
- 注:af到42是密码
|
使用注册表导出hash: |
reg save hklm\sam C:\hash\sam.hive reg save hklm\system C:\hash\system.hive |
导出sam文件: |
shadow copy (一般用在域控上几万 几十万用户的时候) |
其他方式: |
procdump(或者lsadump)+mimikatz Powershell+mimikatz powershell+getpasshash powershell+其他工具 |
在线破解: |
http://cmd5.com https://somd5.com |
本地破解: |
暴力破解 LM加密 cain |
NTLM加密: |
ophcrack+彩虹表(彩虹表下载:http://ophcrack.sourceforge.net/tables.php) |
- 从lsass.exe进程中直接获取密码信息进行破解,而且该破解应该并非穷举方式,而是直接根据算法进行反向计算。
|
- lsass.exe是系统进程,用于本地安全认证服务。
|
- (1)LM只能存储小于等于14个字符的密码hash,如果密码大于14位,windows就自动使用NTLM对其进行加密了,只有对应的NTLM hash可用了,在LM-Password中会以全0显示。
|
- (2)一般情况下使用工具导出的hash都有对应的LM和NTLM值,也就是说这个密码位数<=14,这时LM也会有值,除了LM值全为0之外,在老版本中看到LM:aad3b435b51404eeaad3b435b51404ee开头显示的表示密码为空或者位数超过14位
|
- (3)在win2K3之前包括win2K3会默认启用LM加密,win2K3之后的系统禁用了LM加密,使用NTLM加密
|
- (4)LM方式的加密会存在一个对应的NTLM hash值
|
获取linux/unix系统登陆账号:
|
|
- root:$1$Bg1H/4mz$X89TqH7tpi9dX1B9j5YsF.:14838:0:99999:7:::
|
- 当id为1时,使用md5加密,id为5,采用SHA256进行加密,id为6采用SHA512进行加。
|
|
|
安装后门程序:
|
- 攻击者在获取服务器权限后,通常会用一些后门技术来维持服务器权限,服务器一旦被植入后门,攻击者如入无人之境。
|
|
|
|
- 原理:
- 利用cmd.exe重命名,并覆盖原来的粘连键。当我们再次触发粘连键时,相当于运行了cmd.exe
- 流程:
- 使用以下命令,将cmd.exe 重命名并替换掉shift(粘滞键)(sethc.exe)功能,这样在通过远程桌面登录服务器之后,在输入帐号密码处,按5次shift即可弹出cmd的命令行,权限为system。
|
|
|
|
- 原理:
- 你安装了酷狗播放器,而酷狗播放器在播放音乐的时候必须调用Windows系统下一个标准动态链接库mp3play.dll,那么黑客就自己开发一个恶意的mp3play.dll,然后再找一个MP3歌曲,将这个恶意的DLL和歌曲放在同一个文件夹下,然后打包压缩发给受害者。
- 注:
- 如果受害者用右键将这个压缩包中的MP3文件和DLL文件都解压缩到了一个目录中(90%的人会这样干),那么当受害者点击这个MP3文件的时候,酷狗就会先去寻找mp3play.dll进行加载,而微软设计的加载dll顺序是先从默认文件本身的目录进行寻找,于是那个虚假的、恶意的mp3play.dll就先被加载运行了。
|
|
|
|
|
发布了50 篇原创文章 ·
获赞 167 ·
访问量 1万+
转载自blog.csdn.net/cldimd/article/details/105041041