20199126 2019-2020-2 "Práctica de ataque y defensa de la red" Semana 7 Asignación

Others 2020-04-14 15:10:16 views: null

[TOC]

Prólogo

¿A qué curso pertenece esta tarea? Https://edu.cnblogs.com/campus/besti/19attackdefense ¿Dónde están los requisitos para esta tarea? Https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10612 Estoy aquí El objetivo del curso es aprender los conocimientos y habilidades relevantes de la tecnología de ataque y defensa de la red. Qué aspecto específico de esta tarea me ayudó a lograr mi objetivo: el estudio preliminar de la tecnología de defensa y ataque de seguridad del sistema operativo Windows.

1. Practica el contenido

1.1 Descripción general del marco básico del sistema operativo

1.1.1 Desarrollo y estado del sistema operativo Windows
1.1.2 La estructura básica del sistema operativo Windows

La estructura básica del sistema operativo Windows es la siguiente

Se divide en un núcleo del sistema operativo que se ejecuta en el modo privilegiado del procesador (ring0) y el código de espacio del usuario que se ejecuta en el modo no privilegiado del procesador (ring3).

Los módulos básicos del núcleo del sistema operativo Windows incluyen lo siguiente

  • Ejecutivo de Windows : la interfaz superior del archivo central del núcleo de Windows ntoskml.exe, que contiene servicios básicos del núcleo del sistema operativo, como la gestión de procesos y subprocesos, gestión de memoria, gestión de E / S, conexión de red, comunicación entre procesos y servicios de seguridad.
  • Cuerpo del kernel de Windows : la implementación de la función y el código de soporte de arquitectura de hardware en el archivo central ntoskmnl.exe del kernel de Windows, para implementar las funciones subyacentes del sistema operativo, como la programación de subprocesos, el procesamiento de interrupción y distribución de excepciones, múltiples mecanismos de sincronización, etc. Proporciona un conjunto de rutinas del núcleo y objetos básicos para ayudar al ejecutivo a lograr servicios funcionales de alto nivel.
  • Controladores de dispositivos : incluye controladores de dispositivos de hardware que asignan las operaciones de E / S de los usuarios a solicitudes específicas de E / S de dispositivos de hardware, así como controladores de dispositivos de red y sistema de archivos. Esta parte admite la carga de controladores de dispositivos de hardware de fabricantes de hardware de terceros que han pasado la autenticación de firma digital al núcleo para su ejecución.
  • Capa de abstracción de hardware : el archivo hal.dll es el código subyacente utilizado para proteger las diferencias entre el kernel de Windows y el hardware de la plataforma.
  • Ventana de Windows y código de implementación del kernel de la interfaz de la interfaz gráfica : archivo win 32k.sys.

Los módulos de código del sistema operativo Windows en modo de usuario incluyen lo siguiente.

  • Proceso de soporte del sistema : el proceso de servicio integrado del sistema que se inicia automáticamente cuando se inicia Windows, como el proceso de inicio de sesión y el proceso de administración de sesión que son responsables de la autenticación de identidad de los usuarios de inicio de sesión.
  • Proceso de servicio del subsistema de entorno : un proceso de servicio que proporciona soporte para el entorno operativo del sistema operativo. Windows XP solo es compatible con el subsistema de entorno de Windows, mientras que el subsistema de entorno que se ajusta al estándar POSIX se proporciona como un servicio gratuito para productos UNIX.
  • Proceso de servicio : una serie de sistemas y servicios de red iniciados a través del mecanismo de administración de servicios de Windows, como el servicio de administrador de tareas TaskScheduler, el servicio de red Microsoft SQL Server, etc.
  • Software de aplicación de usuario : todo tipo de software de aplicación de usuario ejecutado en modo de usuario.
  • DLL del subsistema central : es decir, kernel32.d1l / user32.dll / gdi32.dll / advapi32.dll y otros archivos de biblioteca de enlaces dinámicos, como la interfaz interactiva entre el proceso de servicio en modo usuario y el software de aplicación y el núcleo del sistema operativo, el sistema que llama al programa en modo usuario Las funciones de la API se asignan a una o más llamadas de servicio del sistema correspondientes dentro de Windows.

1.2 Arquitectura de seguridad y mecanismo del sistema operativo Windows

1.2.1 Arquitectura de seguridad de Windows

El objetivo del diseño de seguridad del sistema operativo Windows es adoptar un modelo de seguridad consistente, robusto y basado en objetos que admita el intercambio seguro de varios tipos de recursos del sistema, como procesos, memoria, dispositivos, archivos y redes entre múltiples usuarios en una máquina Para satisfacer las necesidades de seguridad de los usuarios comerciales, el sistema operativo Windows 2000 con el kernel NT5.x ha pasado el nivel EVAL4 del estándar de evaluación de seguridad CC, cumpliendo los requisitos de las aplicaciones comerciales comunes. El sistema operativo Windows implementa un modelo básico de seguridad de objetos basado en el modelo de monitor de referencia (Monitor de referencia). El modelo de monitor de referencia es un modelo clásico para el diseño de un sistema operativo seguro. Como se muestra en la Figura 7-6, todos los sujetos en el sistema acceden al objeto a través del monitor de referencia como intermediario, y el monitor de referencia realiza la estrategia de control de acceso de seguridad Acceso autorizado, todos los registros de acceso también son generados por el registro de auditoría del monitor de referencia.

Basado en el modelo de seguridad clásico del monitor de referencia, el sistema operativo Windows utiliza la arquitectura de seguridad que se muestra en la Figura 7-7 para diseñar e implementar el mecanismo de seguridad básico, cuyo núcleo es el monitoreo de referencia de seguridad SRM (Security Reference Monitor) ubicado en el núcleo. Y el servicio de seguridad LSASS (Servicio de subsistema de autoridad de seguridad local) ubicado en el modo de usuario. Junto con servicios como Winlogon / Netlogon y Eventlog, implementan el mecanismo de autenticación para el usuario sujeto, el mecanismo de control de acceso para todos los objetos de recursos y Mecanismo de auditoría de seguridad de acceso.

  • El proceso de Winlogon y Netlogon en LSASS son responsables respectivamente de la autenticación de identidad de los usuarios de inicio de sesión local y remoto de Windows. El servicio de verificación de identidad proporcionado por LSASS se utiliza para determinar la autenticidad de la identidad del principal de seguridad.
  • El monitor de referencia de seguridad en el núcleo sirve como el guardián de la casa del tesoro de recursos de Windows. De acuerdo con la política de control de acceso de seguridad configurada por el servicio LSASS, es responsable del control de acceso autorizado de todos los sujetos de seguridad para acceder a los objetos de recursos de Windows.
  • El monitor de referencia de seguridad registra los eventos en cuestión durante el proceso de acceso de acuerdo con la estrategia de auditoría de seguridad configurada por el servicio LSASS, y EventLog genera el registro de auditoría del sistema.
1.2.2 Mecanismo de autenticación de identidad de Windows

El concepto de principal de seguridad en el sistema operativo Windows incluye todos los objetos de entidad que realizan solicitudes de acceso a recursos del sistema. Hay tres categorías de usuarios, grupos de usuarios y computadoras. Para cada principal de seguridad, un identificador de seguridad SID globalmente único en tiempo y espacio Para identificación, SID es una cadena de la forma "S-1-5-21-13124455-12541255-61235125-500", donde S es un carácter fijo, 1 es el número de versión y el tercer dígito es un valor de 48 bits, que indica la identificación Autoridad del operador (5 significa la autoridad de seguridad de Windows), seguido de múltiples ID de subautoridades numéricas de 32 bits, y la última parte se llama RID. Generalmente, el RID de una cuenta de administrador es 500. Windows configura cuentas para que cada usuario y computadora administren, como el entorno de ejecución del código del programa de estos cuerpos de tarjetas de seguridad, y la función fundamental de los permisos de la cuenta es limitar el acceso de los objetos de recursos del sistema a los programas que se ejecutan en estas cuentas. Hay algunas cuentas integradas en el sistema de Windows, como la cuenta de administrador local con la máxima autoridad, la cuenta SYSTEM / L ocalSystem que ejecuta automáticamente el entorno del proceso del sistema, el usuario invitado invitado con relativamente pocos permisos y el servicio IUSR. _Machinename IIS. Cuenta anónima de acceso a la red, etc. A los ojos de los hackers, el administrador local y las cuentas de SYSTEM tienen los permisos más altos y son los objetivos finales de sus ataques. El grupo de usuarios es un contenedor de cuentas de usuario introducido para simplificar la administración de usuarios. Al agregar una cuenta de usuario a un grupo de usuarios específico, el usuario puede tener todos los permisos configurados por el grupo de usuarios, y el grupo de usuarios se puede usar efectivamente para permitir que el administrador del sistema La carga de trabajo de configuración del control de autoridad se reduce considerablemente. Los grupos de usuarios integrados de Windows incluyen: Administradores de grupos de usuarios locales con privilegios más altos, operadores de cuentas / copias de seguridad / servidores / impresión y otros grupos de operaciones con permisos de sistema unilaterales, grupos de usuarios de servicios de red y servicios locales para acomodar cuentas de servicios y grupos de usuarios donde se encuentran todas las cuentas de usuarios, etc. Del mismo modo, los hackers a menudo desean agregar la cuenta de puerta trasera autoconstruida] al grupo de usuarios Administradores para obtener los permisos más altos del sistema. La contraseña de la cuenta de usuario de Windows está encriptada y almacenada en el SAM o Active Directory AD. La información de contraseña de la cuenta de usuario local está encriptada por el hash de clave aleatoria irreversible de 128 bits y se almacena en el archivo SAM (Administrador de Cuentas de Seguridad). En la ubicación de la ruta del sistema de archivos% systemroot% \ system32lconfiglsam, y hay una copia de HKEY LOCAL MACHINESAM en el registro, pero durante la operación de Windows, porque el kernel de Windows agrega un bloqueo de archivo persistente al archivo SAM, por lo que incluso la cuenta de administrador SAM no se puede leer directamente a través de los canales normales, solo se pueden leer los permisos de la cuenta de LocalSystem, pero los hackers han propuesto una variedad de técnicas para volcar el contenido de SAM de la memoria, haciendo posible el descifrado por fuerza bruta de las contraseñas cifradas de SAM . La información de contraseña de la cuenta de dominio de Windows se almacena en el AD del controlador de dominio. El método de cifrado es el mismo que el de la plataforma independiente. La ubicación del sistema de archivos de almacenamiento es la ruta% systemroot% 'Intds \ ntds.dit del controlador de dominio. La información del texto cifrado de la contraseña en AD también se puede volcar de la memoria a través de varias técnicas, Y admite ataques de descifrado de contraseña de fuerza bruta sin conexión. Para temas de seguridad como usuarios y computadoras remotas que intentan usar el sistema de Windows, Windows usa cierta información secreta (como contraseñas guardadas, huellas dactilares registradas, etc.) para autenticar la identidad verdadera y legal del sujeto de seguridad y realizar la autenticación de identidad del usuario. Windows admite dos métodos de autenticación de identidad local y autenticación de identidad de red, respectivamente, para verificar la legitimidad del cuerpo principal en el inicio de sesión del sistema local y el acceso remoto a la red. El proceso de Winlogon, la ventana de inicio de sesión gráfica de GINA y el servicio LSASS colaboran para completar el proceso de autenticación de identidad local. El proceso de Winlogon se ejecutará automáticamente cuando se inicie el sistema, respondiendo a la entrada del usuario de la combinación de teclas Ctrl + Alt + Supr para iniciar la ventana de inicio de sesión gráfica de GINA, GINA Después de extraer la información de contraseña ingresada por el usuario, Winlogon la transfiere al servicio LSASS y utiliza el servicio de verificación de identidad proporcionado por LSASS para confirmar la autenticidad de la identidad del usuario, iniciar sesión en el sistema y obtener la autoridad de ejecución de la cuenta de usuario para los verificados. El proceso de autenticación de identidad de red está dominado por el módulo Netlogon del servicio LSASS. Cuando un cliente Windows accede a un recurso de servidor de red remoto de Windows, el módulo Netlogon del servicio LSASS del cliente realizará un proceso de protocolo de autenticación basado en "desafío-respuesta" con el Netlogon del servidor. Para verificar la identidad del usuario del cliente.

1.2.3 Autorización de Windows y mecanismo de control de acceso

El mecanismo de autorización y control de acceso de Windows se basa en el modelo de monitor de referencia. Lo implementa el módulo SRM en el núcleo y el servicio LSASS en modo de usuario. SRM se utiliza como intermediario cuando el sujeto de seguridad accede a los recursos objetivo de acuerdo con la lista de control de acceso establecida. Autorizar acceso.

Después de que los principios de seguridad, como el usuario, estén autenticados, el sistema de Windows le dará al usuario un token de acceso, que almacena una lista de identificadores de SID de sujeto de seguridad relacionados con la cuenta de usuario que ha iniciado sesión, incluido el SID de la cuenta de usuario en sí, el usuario La lista SID del grupo también contiene una lista de algunos privilegios del sistema que posee el usuario.

Windows abstrae todos los recursos que se protegerán en el sistema en objetos (Objeto). Los tipos específicos incluyen archivos, directorios, claves de registro, objetos del núcleo, objetos de sincronización, objetos privados, tuberías, memoria, interfaces de comunicación, etc. El objeto estará asociado con un Descriptor de seguridad SD (Descriptor de seguridad), el descriptor de seguridad del objeto se compone de los siguientes atributos principales.

  • OwnerSID: el identificador de seguridad SID del propietario del objeto.
  • SID de grupo: el identificador de seguridad SID del grupo de usuarios básico donde se encuentra el objeto (compatible con POSIX)
  • Lista de control de acceso autónomo de DACL: indica qué entidades de seguridad pueden acceder al objeto de qué manera. La Figura 7-10 muestra un ejemplo de configuración de la lista de control de acceso a objetos de archivo.
  • Lista de control de acceso de auditoría del sistema SACL: indica qué operaciones de acceso iniciadas por qué sujetos necesitan ser auditados.

Después de que la información del contexto de seguridad se define en el token de acceso y el descriptor de seguridad del cuerpo principal y los objetos objeto de Windows, el mecanismo de control de acceso autorizado de Windows se vuelve muy simple y claro, es decir, el monitor de referencia de seguridad SRM en el núcleo El módulo determina si un sujeto tiene el acceso solicitado a un determinado objeto y, de ser así, otorga el acceso, y este proceso constituye el mecanismo básico de control de acceso y el modelo de seguridad de objetos del sistema de Windows.

1.2.4 Mecanismo de auditoría de seguridad de Windows

La implementación del mecanismo de auditoría de seguridad de Windows también es relativamente clara. El administrador del sistema define la estrategia de auditoría del sistema en la estrategia de seguridad local para determinar qué eventos registra el sistema. La configuración de la estrategia de auditoría del sistema de Windows se muestra en la Figura 7-12: el servicio LSASS guardará la estrategia de auditoría y la guardará en la lista SACL en el descriptor de seguridad del objeto después de que el objeto inicie la función de auditoría: el monitor de referencia de seguridad SRM está trabajando en el objeto Cuando se autoriza el acceso, los registros de auditoría de acceso a objetos especificados y eventos de operación también se enviarán al servicio LSASS de acuerdo con la configuración de la lista SACL del objeto; después de que los detalles de los registros de auditoría se complementen con el servicio LSASS, estos registros de auditoría se enviarán al evento de registro de eventos Servicio de registro; El servicio EventLog finalmente escribe el registro de eventos en el archivo de registro, y lo muestra al administrador del sistema a través de la herramienta de visualización de eventos, y también se puede utilizar como una herramienta de análisis de registro de auditoría de terceros para analizar la fuente de datos de entrada. El visor de registro de eventos de auditoría del sistema de Windows se muestra en la figura.

1.2.5 Otros mecanismos de seguridad de Windows
  • Centro de seguridad de Windows: firewall integrado, actualización automática de parches y protección contra virus
  • Cifrado IPSec y mecanismo de autenticación
  • Sistema de archivos cifrados EFS
  • Mecanismo de protección de archivos de Windows
  • Protección de incógnito y mecanismo de protección de seguridad de navegación proporcionado por el navegador IE incluido

La mayor parte de la configuración de la política de seguridad de Windows se concentra en la interfaz de configuración de la política de grupo, de la siguiente manera

1.3 Tecnología de defensa y ataque de seguridad remota de Windows

La tecnología de ataque remoto de Windows se puede dividir en las siguientes categorías:

  • Ataques de descifrado y descifrado de contraseñas remotos: incluyendo descifrado de fuerza bruta de contraseñas, adivinanzas basadas en diccionarios y técnicas de fraude de autenticación de intermediario.
  • Atacar los servicios de red de Windows: ya sea que los servicios de red únicos de Windows, como SMB, MSRPC, NETBIOS o instancias de servicio específicas de varios servicios de Internet como IIS, MSSQL, etc. en el sistema de Windows, exista inevitablemente la ejecución remota de código Vulnerabilidades de seguridad de alto riesgo, los atacantes han estado utilizando estas vulnerabilidades para llevar a cabo ataques de penetración remota en los servicios de red de Windows, obteniendo así acceso al sistema de Windows.
  • Atacar a clientes y usuarios de Windows: debido a la reciente mejora efectiva de la seguridad del sistema de Windows y sus propios servicios, los ataques de penetración de clientes contra navegadores web y software de aplicaciones de terceros se han vuelto populares.
1.3.2 Adivinación de contraseña remota de Windows y ataques de descifrado
  • Adivinación remota de contraseña y medidas de prevención de descifrado
    • Intente cerrar servicios de red abiertos innecesarios que son vulnerables a ataques de adivinación de contraseña remota, incluidos el puerto TCP SMB 139/445, el puerto WMI TCP 135, el puerto de terminal TS TCP 3389 y el puerto MS SQL Server TCP 1433.
    • Configure el firewall del host para restringir los servicios a los puertos anteriores. Si los usuarios aún necesitan usar estos servicios, pero desean mejorar la protección de estos servicios contra la suposición remota de contraseñas, puede configurar el firewall del host.
    • Use firewalls de red para restringir el acceso a estos servicios.
    • La forma más básica de lidiar con la comunicación de intercambio remoto de contraseñas y los ataques de escuchas ilegales es deshabilitar los lanMan y NTLM obsoletos e inherentemente defectuosos, pero solo usar los protocolos de autenticación NTLMv2 y Kerberos reforzados con seguridad, y debe mantener la actualización de Windows actualizada automáticamente y Confirme que las vulnerabilidades de seguridad encontradas en el protocolo NTLMv2 han sido parcheadas (parches MS08-068 y MS10-012).
    • Formule e implemente una estrategia de contraseña segura para garantizar que los usuarios establezcan contraseñas que cumplan ciertos requisitos de longitud y complejidad.

1.4 Tecnología de defensa y ataque de seguridad local de Windows

1.4.2 Robo de información confidencial de Windows

  • Incluyendo: tecnología de extracción de texto cifrado de contraseña del sistema de Windows, tecnología de descifrado de palabras de contraseña del sistema de Windows, robo de datos confidenciales del usuario

  • Precauciones contra el robo de información confidencial local: use contraseñas más seguras

1.4.3 Windows desaparece
  • Incluyendo: desactivar la función de auditoría, limpiar el registro de eventos, métodos y medidas para desaparecer
1.4.4 Control remoto de Windows y programa de puerta trasera

  • Los atacantes suelen implantar programas de control remoto y de puerta trasera de terceros en sistemas controlados, que se dividen principalmente en dos categorías: herramientas públicas de control remoto de línea de comandos y herramientas gráficas de control remoto.

  • Medidas preventivas contra programas de puerta trasera: use algún software de detección de puerta trasera para tratar de encontrar los programas de puerta trasera ocultos por los atacantes.El software de detección de uso común incluye software antivirus proporcionado por proveedores de antivirus, así como algunos software profesionales de detección de puerta trasera y rootkit, como RootkitRevealer of Sysinternals , Cuchilla de hielo Domestic IceSword y así sucesivamente.

2. Proceso de práctica

2.1 Práctica práctica: Metaploit Windows Attack

Habilite Metaploit3 msfconcole, ingrese para ?ver algunos comandos

Úselo search ms08_067para encontrar el módulo de ataque para la vulnerabilidad MS08_067 requerida por la misión

Puede ver el nombre, el nivel y la descripción de los módulos de ataque disponibles. Es mejor usar módulos excelentes o excelentes. Si usa normal o similar, puede que no haya entrada de efecto para usar el módulo de destinouse windows/smb/ms08_067_netapi

Ingrese show payloadspara seleccionar una carga útil de ataque efectiva. El objetivo principal de la carga útil es establecer una conexión estable entre el atacante y el objetivo y regresar al shell

Después de eso, puede ingresar show targetspara ver el modelo de sistema de destino que puede usar el módulo de ataque. Por supuesto, la ventana de máquina de destino2k_server_SP0_taget de este experimento es definitivamente aplicable a este módulo.

Después de seleccionar la carga útil que se utilizará de las cargas anteriores set payload generic/shell_reverse_tcp, la tarea requiere que la carga útil sea un shell remoto, y reversa es generalmente una conexión inversa, es decir, la máquina objetivo está conectada a la máquina de ataque en reversa, y el enlace está conectado en la dirección de avance.

Después de seleccionar la conexión inversa, debe configurar la ip y el puerto de destino y la ip de la máquina atacante

Una vez completada la configuración, puede ingresar exploito runatacar

Puede ver que la información en la máquina de destino se puede obtener a través del shell, que es coherente con la visualización en la máquina de destino

2.2 Incidente de confrontación del equipo

Como soy un experimento personal, actuaré como atacante y como defensor. Primero, el atacante usa el programa de consola metaploit3. Primero nmap -sV 192.168.200.125, usa nmap para ver qué puertos y servicios la máquina objetivo puede convertirse en el objetivo del ataque.

Simplemente busque un servicio para ver si metaploit3 tiene un módulo de ataque correspondiente, es usted, Apache,search Apache

Vea un excelente módulo de ataque, intente con decisión use linux/http/piranha_passwd_exec y luego vea si hay una carga útil

¡Solo normal, está bien! Pruébalo Luego configure los parámetros como antes

exploitPruébalo

? ? ? No hay sesión, entonces construimos una,set session 1

Aún no . No puedo verificar aquí, pero de acuerdo con Internet, la máquina de destino no tiene este vacío legal y es segura. . Ok, cambiemos uno

Cambia Samba, la misma operación otra vez

Conéctese con éxito, construya un hacksuccess

Mientras realizaba el ataque anterior, también abrí wirehark para oler la red

Primer vistazo a arp para determinar quién atacó a quién

Véase se emite 192.168.200.3consulta 192.168.200.125 establecido ip.src ==192.168.200.3 && ip.dst == 192.168.200.125para ver

Se puede ver que hay dos negros [tcp dup ack xxxx#1], y la pila de grises rojos en el frente se puede conocer como el atacante que busca el puerto abierto de la máquina de destino, y los dos en este lado indican que los datos se pierden tcp, y este tipo de cosas generalmente aparece cuando aumenta el retraso de la red En ese momento, ¿podemos entender que la congestión de la red causada por el avión de ataque que ataca al avión objetivo en este momento? Y hay dos mensajes SMB al frente. Baidu sabe que SMB se utiliza para la conexión web y la comunicación de información entre el cliente y el servidor. El mensaje posterior proviene del puerto 4444 de la máquina de ataque. Miremos [PSH,ACK]el mensaje. PSH significa que el mensaje transporta datos.

Se puede ver que la máquina atacante envió un ifconfigcomando y la máquina objetivo devolvió la información correspondiente, lo que indica que el ataque del atacante ha sido exitoso. Entonces el contenido del mensaje entre ellos debe ser shellcode

Entonces sabemos que hay una entrega de mensajes SMB antes

Al ver que la única conexión válida es desde el puerto 4444 del ataque lanzado contra el puerto 139 de la máquina de destino, se puede considerar que el atacante ataca la vulnerabilidad del canal SMB a través del servicio en el puerto 139.

2.3 Práctica del análisis forense: decodificación de un ataque exitoso de craqueo del sistema NT.

Un atacante de 213.116.251.162 capturó con éxito un host honeypot 172.16.1.106 (nombre de host: lab.wiretrip.net) desplegado por rfp. Este es un ataque muy típico contra el sistema NT, y tenemos razones Se cree que el atacante finalmente identificó el host honeypot, por lo que este será un desafío de análisis de caso muy interesante. Su fuente de datos de análisis solo tiene un archivo de registro binario que contiene todo el proceso de ataque, y su tarea es extraer y analizar todo el proceso del ataque desde este archivo.

  • 1. ¿Qué herramientas de craqueo usó el atacante para atacar?
  • 2. ¿Cómo utilizó el atacante esta herramienta de craqueo para ingresar y controlar el sistema?
  • 3. ¿Qué hizo el atacante después de obtener acceso al sistema?
  • 4. ¿Cómo podemos prevenir tales ataques?
  • 5. ¿Crees que el atacante está alerta de que su objetivo es un host honeypot? Si es así, ¿por qué?
Pregunta 1: ¿Qué herramientas de craqueo usó el atacante para atacar?

Primero importe el archivo de registro en wireshark, eche un vistazo al paquete de datos

Conocemos la IP de la máquina atacante: 213.116.251.162y la IP de la máquina de destino:172.16.1.106

Al ver tal cosa %CO%AF, Baidu sabe que esta es una representación UTF-8 ilegal del carácter "/". Consulte el ataque de vulnerabilidad Unicode de IIS para saber que se trata de un ataque de vulnerabilidad de codificación Unicode

Debido a que son básicamente paquetes tcp o http, rastreemos el flujo de datos

En la secuencia de datos trazada de TCP, puede ver que hay una en la parte superior que !ADM!ROX!YOUR!WORLD!aparece muchas veces. La consulta muestra que proviene de una herramienta de ataque llamada msadc2.pl

Pregunta 2: ¿Cómo utilizó el atacante esta herramienta de craqueo para ingresar y controlar el sistema?

Vea cómo el atacante escribe en el shell en la secuencia tcp anterior para realizar algunas operaciones para atacar

Filtrar a cabo comando shell analiza el ataque, el atacante mediante la creación de un guión ftpcom, conexión ftp uso www.nether.net, y es johna2kpara los usuarios haxedj00para descargar una contraseña nc.exe, pdump.exeysamdump.dll

Pregunta 3: ¿Qué hizo el atacante después de obtener acceso al sistema?

Después de obtener el control del sistema, el ataque llevó a cabo una serie de operaciones.

Pregunta 4: ¿Cómo podemos prevenir tales ataques?
  • Escanee y repare vulnerabilidades a tiempo, aplique parches con frecuencia
  • Desactiva los servicios no utilizados a tiempo
  • Use NTFS
Pregunta 5: ¿Crees que el atacante está alerta de que su objetivo es un host honeypot? Si es así, ¿por qué?

La entrada del atacante muestra que descubrió que el objetivo es el host honeypot

3. Resumen de la práctica

El archivo de registro es muy complicado, y fue imposible comenzar desde el principio, pero aún puedo ver una pequeña pista a través de varias secuencias de datos. Esperaba la última secuencia de datos. Siento que la operación después de obtener el control del sistema de destino siempre será sencilla. Después del experimento, todavía me siento confuso y todavía no soy lo suficientemente sensible a los datos. Necesita ser mejorado.

Referencias

Supongo que te gusta

Origin www.cnblogs.com/fuhara/p/12680078.html
Recomendado
Clasificación
Diario
Más
2024-05-15(5)
2024-05-14(10)
2024-05-13(7)
2024-05-12(22)
2024-05-11(31)
2024-05-10(32)
2024-05-09(31)
2024-05-08(18)
2024-05-07(35)
2024-05-06(4)

Code World

© 2018 codetd.com