网络信息对抗第五章Windows攻防技术与防御方法.ppt

网络信息对抗网络信息对抗主讲人：张主讲人：张 瑜瑜Email:QQ:344248003网络信息对抗网络信息对抗第五章：第五章：Windows攻防技术与防御方法攻防技术与防御方法提纲提纲oWindows系统查点oWindows系统远程攻击oWindows系统本地攻击o案例演示：解码一次成功的案例演示：解码一次成功的NT系统破解攻击o作业作业5：Win2K系统被攻陷加入僵尸网络Windows组网结构回顾组网结构回顾oNetBIOS名字服务(NBNS,UDP 137)oNetBIOS数据报服务(UDP 138)oNetBIOS会话服务(TCP 139)oMSRPC(TCP 135)oSMB/CIFS(TCP 445)oDNS(UDP 53)oLDAP活动目录(TCP 389,3268)普通普通(跨跨OS)网络服务查点网络服务查点oDNS服务nDNS区域传送oFTP服务n匿名连接,旗标抓取oHTTP服务n旗标抓取,全站爬取oSMTPnVRFY:查看其他用户个人资料nEXPN:显示假名和邮件的实际发送地址oSNMP:简单网络管理协议UDP 161nsnmpwalk xxx.xxx.xxx.xxx publicnIP Network BrowserDNS查点查点oDNS区域传送nnslookup:default servernls-d DOMAIN_DNS_NAMEo阻断DNS区域传送nMMC控制台配置DNS服务去掉Allow Zone Transfers，禁止区域传送nC:Documents and SettingszhugejwnslookupnDefault Server:nAddress:202.106.0.20n ls-d nls:connect:No errorn*Cant list domain bta.DNS查点查点主机查点主机查点NetBIOS网络查点网络查点o使用net view查点域n列出网络上的工作组和域：net view/domainn列出指定组/域中的所有计算机：net view/domain:DOMAIN_NAMEo识别域控制器nnltest/dclist:DOMAIN_NAME主机查点主机查点NetBIOS网络查点网络查点NetBIOS主机查点主机查点o查看查看NetBIOS名字表名字表n列举：自带工具nbtstat-A TARGET_IPn扫描：免费工具nbtscan TARGET_NETNetBIOS主机查点主机查点NetBIOS主机查点主机查点主机查点主机查点NetBIOS网络查点网络查点o其他工具nepdump,rpcdump,getmac,netdom,netviewx,Winfo,nbtdump,oNetBIOS查点防御对策n网络：防火墙禁止外部访问TCP/UDP 135-139，445端口n主机：配置IPSec过滤器，主机个人防火墙，禁用Alerter和Messenger服务主机查点主机查点SMB查点查点o空会话(Null Session)n利用SMB(TCP 139/445)规范中提供未认证用户查询计算机信息的APInnet use HOSTIPC$“”/u:”nIPC$:Windows主机间的隐蔽网络共享，用于不同主机进程间通讯o查询主机共享资源nnet view HOSTnNTRK资源包中的rmtshare,srvcheck,srvinfonDumpSec共享目录查点示例共享目录查点示例o工具：nDumpsecnLegion主机查点主机查点SMB查点查点(2)o使用nltest查点受信任域nnltest/server:SERVER_NAMEnnltest/trusted_domaino查询主机用户信息nNTRK资源包:usrstat,showgrps,local,globaln强大工具DumpSec:能够列出用户、组及权限GUI主机查点主机查点SMB查点查点(2)主机查点集成工具和防范措施主机查点集成工具和防范措施oNetBIOS集成查点工具集成查点工具nenum/NetenNessuso主机查点防范措施主机查点防范措施n网络/主机防火墙:限制对端口135-139,445的访问n禁用SMB服务:除非你愿意承受windows共享服务带来的安全威胁n设置HKLMSYSTEMCurrentControlSetControlLSARestrictAnonymous注册表项为2(限制空会话查点)主机查点集成工具和防范措施主机查点集成工具和防范措施活动目录查点活动目录查点o活动目录活动目录(Active Directory)n基于轻量级目录访问协议(LDAP)-TCP/UDP:389n活动目录全局编录端口3268o利用利用LDAP客户端进行活动目录查点客户端进行活动目录查点nLdpn早期Nt 4.x仅用guest帐户可查询所有用户和组对象o活动目录查点防御对策活动目录查点防御对策n网络边界限制对TCP 389和3268端口的访问n从Pre-Windows 2000 Compatible Access组中删除Everyone组MSRPC查点查点oMSRPC服务查点nMSRPC服务：远程过程调用服务端口映射器TCP 135o查询该服务获得目标主机上可用的应用程序和服务相关信息nReskit工具包epdump工具oepdump HOST:应用服务绑定IP地址和端口oMSRPC查点防御策略n限制非授权用户对TCP 135端口的访问提纲提纲oWindows系统查点oWindows系统远程攻击oWindows系统本地攻击o案例演示：解码一次成功的案例演示：解码一次成功的NT系统破解攻击o作业作业5：Win2K系统被攻陷加入僵尸网络Windows系统远程攻击系统远程攻击oWindows独有组网协议和服务nSMB(远程口令猜测),MSRPC,LSASSo各种网络服务在Windows平台的具体实现nIIS,MS SQL Server,远程桌面o社会工程学、攻击客户端软件等n进阶部分课程11：客户端攻击技术与安全加固机制远程口令字猜测远程口令字猜测oWindows文件与打印共享服务SMBnTCP 139:NetBIOS Session ServicenTCP 445:SMB over HTTP直连主机服务o攻击点：默认开放的隐藏共享卷nIPC$:进程间通信nADMIN$,%systemdrive%$:默认系统管理共享卷o目标系统用户名单n通过查点方法收集用户帐户信息:dumpsecn内建用户:Guest,Administrator远程口令字猜测远程口令字猜测(2)o图形化方式o命令行方式nnet use HOSTIPC$*/u:Administratorn请键入HOSTIPC$的密码:n命令成功完成.远程口令字猜测远程口令字猜测(3)o自动方式nFOR批处理n免费软件：Legion、NetBIOS Auditing Tooln商业软件：SMBGrind(并发,快速)n国内软件：XScan,小榕软件之流光o口令字猜测方法n空白口令n弱口令(高概率组合)n字典攻击n暴力破解远程口令字防御策略远程口令字防御策略o网络防火墙：限制TCP 139/445端口访问o主机级安防机制限制对SMB的访问nIPSec过滤器nWindows防火墙o禁用SMB服务放弃Windows文件和打印共享o制定和实施强口令字策略o设置帐户锁定阈值o激活帐户登录失败事件审计功能，定期查看Event Logo使用入侵检测/防御系统进行实时报警和防御窃听网络上的口令字交换通信窃听网络上的口令字交换通信oL0phtcrack针对Windows的口令字猜测工具n通常脱机工作，针对Windows口令数据库nSMB Packet CaptureoL0phtcrack通过窃听网络口令字交换通信进行口令破解n蛮力攻击n利用MS的LanMan口令字加密算法弱点：密文分段且无关联远程口令字窃听防范措施远程口令字窃听防范措施o禁用LanMan身份验证：LMCompatibilityLevel设置为4o安全策略工具：LAN Manager Authentication Level至少设置为2:“Send NTLM Response Only远程口令字窃听防范措施远程口令字窃听防范措施提纲提纲oWindows系统查点oWindows系统远程攻击oWindows系统本地攻击o案例演示：解码一次成功的案例演示：解码一次成功的NT系统破解攻击o作业作业5：Win2K系统被攻陷加入僵尸网络Windows本地攻击本地攻击o本地权限提升(特权提升)n破解本地安全漏洞n破解口令字o窃取敏感信息o掩踪灭迹o远程控制和后门破解漏洞进行本地权限提升破解漏洞进行本地权限提升oGuestAdministratorogetadmin系列n针对NT4的权限提升攻击工具n基本技术：“DLL注入”o假造LPC端口请求:MS00-003o命名管道预知:MS00-053oNetDDE服务漏洞:MS01-007oWindows调试器攻击:MS03-013获取口令字密文获取口令字密文o口令字密文位置nNT4之前：SAM安全帐户管理器o%systemroot%system32configSAMo操作系统运行期间锁定，即使Admin帐户也不能随意查看和修改nWindows 2000/XP/2003:活动目录o%windir%WindowsDSntds.dito默认大小10MB，加密格式o获取口令字密文的基本套路n另一操作系统启动拷贝密文文件：物理访问n硬盘修复工具包rdisk创建SAM备份文件拷贝:rdisk/s-n窃听Windows系统身份验证过程(网络监听LanMan密文)n直接从SAM文件或活动目录直接提取口令字密文直接提取口令字密文直接提取口令字密文opwdump(Jeremy Allison):最早针对NT4 SAM直接提取口令字密文n要求admin权限oNT4 SP2增强策略:SYSKEY机制npwdump2(Todd Sabin):DLL注入方法将本身代码加载到另一高优先级进程空间n要求admin权限,samdump.dll库文件oWindows 2000/XP/2003:活动目录npwdump2的改进版本opwdump3e改进版本:通过SMB远程提取口令字密文破解口令字破解口令字oL0phtcrack工具o多种导入SAM数据方式:本地注册表、原始SAM文件、SAM备份文件、网络监听口令字密文、L0phtcrack数据文件、pwdumpX输出文件o字典破解、蛮力破解、混合式破解o分布式破解:并行破解oLanMan密文破解:最早被破解oJohn the Rippero免费o破解Unix/Linux、Window LanMan口令字o缺陷：只能破解LanMan密文