网络信息对抗第五章Windows攻防技术与防御方法

网络信息对抗主讲人：张瑜Email:bullzhangyu@yahoo.com.cnQQ:344248003网络信息对抗第五章：Windows攻防技术与防御方法提纲Windows系统查点Windows系统远程攻击Windows系统本地攻击案例演示：解码一次成功的NT系统破解攻击作业5：Win2K系统被攻陷加入僵尸网络Windows组网结构回顾NetBIOS名字服务(NBNS,UDP137)NetBIOS数据报服务(UDP138)NetBIOS会话服务(TCP139)MSRPC(TCP135)SMB/CIFS(TCP445)DNS(UDP53)LDAP＋活动目录(TCP389,3268)普通(跨OS)网络服务查点DNS服务DNS区域传送FTP服务匿名连接,旗标抓取HTTP服务旗标抓取,全站爬取SMTPVRFY:查看其他用户个人资料EXPN:显示假名和邮件的实际发送地址SNMP:简单网络管理协议UDP161snmpwalkxxx.xxx.xxx.xxxpublicIPNetworkBrowserDNS查点DNS区域传送nslookup:defaultserverls-dDOMAIN_DNS_NAME阻断DNS区域传送MMC控制台配置DNS服务去掉AllowZoneTransfers，禁止区域传送C:\DocumentsandSettings\zhugejwnslookupDefaultServer:gjjline.bta.net.cnAddress:202.106.0.20ls-dbta.net.cnls:connect:Noerror***Can'tlistdomainbta.DNS查点主机查点－NetBIOS网络查点使用netview查点域列出网络上的工作组和域：netview/domain列出指定组/域中的所有计算机：netview/domain:DOMAIN_NAME识别域控制器nltest/dclist:DOMAIN_NAME主机查点－NetBIOS网络查点NetBIOS主机查点查看NetBIOS名字表列举：自带工具nbtstat-ATARGET_IP扫描：免费工具nbtscanTARGET_NETNetBIOS主机查点NetBIOS主机查点主机查点－NetBIOS网络查点其他工具epdump,rpcdump,getmac,netdom,netviewx,Winfo,nbtdump,…NetBIOS查点防御对策网络：防火墙禁止外部访问TCP/UDP135-139，445端口主机：配置IPSec过滤器，主机个人防火墙，禁用Alerter和Messenger服务主机查点－SMB查点空会话(NullSession)利用SMB(TCP139/445)规范中提供未认证用户查询计算机信息的APInetuse\\HOST\IPC$“”/u:””IPC$:Windows主机间的隐蔽网络共享，用于不同主机进程间通讯查询主机共享资源netview\\HOSTNTRK资源包中的rmtshare,srvcheck,srvinfoDumpSec共享目录查点示例工具：DumpsecLegion主机查点－SMB查点(2)使用nltest查点受信任域nltest/server:SERVER_NAMEnltest/trusted_domain查询主机用户信息NTRK资源包:usrstat,showgrps,local,global强大工具DumpSec:能够列出用户、组及权限GUI主机查点－SMB查点(2)主机查点－集成工具和防范措施NetBIOS集成查点工具enum/NeteNessus主机查点防范措施网络/主机防火墙:限制对端口135-139,445的访问禁用SMB服务:除非你愿意承受windows共享服务带来的安全威胁设置HKLM\SYSTEM\CurrentControlSet\Control\LSA\RestrictAnonymous注册表项为2(限制空会话查点)主机查点－集成工具和防范措施活动目录查点活动目录(ActiveDirectory)基于轻量级目录访问协议(LDAP)-TCP/UDP:389活动目录全局编录端口3268利用LDAP客户端进行活动目录查点Ldp早期Nt4.x仅用guest帐户可查询所有用户和组对象活动目录查点防御对策网络边界限制对TCP389和3268端口的访问从Pre-Windows2000CompatibleAccess组中删除Everyone组MSRPC查点MSRPC服务查点MSRPC服务：远程过程调用服务端口映射器TCP135查询该服务获得目标主机上可用的应用程序和服务相关信息Reskit工具包epdump工具epdumpHOST:应用服务绑定IP地址和端口MSRPC查点防御策略限制非授权用户对TCP135端口的访问提纲Windows系统查点Windows系统远程攻击Windows系统本地攻击案例演示：解码一次成功的NT系统破解攻击作业5：Win2K系统被攻陷加入僵尸网络Windows系统远程攻击Windows独有组网协议和服务SMB(远程口令猜测),MSRPC,LSASS各种网络服务在Windows平台的具体实现IIS,MSSQLServer,远程桌面社会工程学、攻击客户端软件等进阶部分－课程11：客户端攻击技术与安全加固机制远程口令字猜测Windows文件与打印共享服务－SMBTCP139:NetBIOSSessionServiceTCP445:SMBoverHTTP直连主机服务攻击点：默认开放的隐藏共享卷IPC$:进程间通信ADMIN$,[%systemdrive%]$:默认系统管理共享卷目标系统用户名单通过查点方法收集用户帐户信息:dumpsec内建用户:Guest,Administrator远程口令字猜测(2)图形化方式命令行方式netuse\\HOST\IPC$*/u:Administrator请键入\\HOST\IPC$的密码:命令成功完成.远程口令字猜测(3)自动方式FOR批处理免费软件：Legion、NetBIOSAuditingTool商业软件：SMBGrind(并发,快速)国内软件：XScan,小榕软件之流光口令字猜测方法空白口令弱口令(高概率组合)字典攻击暴力破解远程口令字防御策略网络防火墙：限制TCP139/445端口访问主机级安防机制限制对SMB的访问IPSec过滤器Windows防火墙禁用SMB服务－放弃Windows文件和打印共享制定和实施强口令字策略设置帐户锁定阈值激活帐户登录失败事件审计功能，定期查看EventLog使用入侵检测/防御系统进行实时报警和防御窃听网络上的口令字交换通信L0phtcrack－针对Windows的口令字猜测工具通常脱机工作，针对Windows口令数据库SMBPacketCaptureL0phtcrack通过窃听网络口令字交换通信进行口令破解蛮力攻击利用MS的LanMan口令字加密算法弱点：密文分段且无关联远程口令字窃听防范措施禁用LanMan身份验证：LMCompatibilityLevel设置为4安全策略工具：LANManagerAuthenticationLevel至少设置为2:“SendNTLMResponseOnly远程口令字窃听防范措施提纲Windows系统查点Windows系统远程攻击Windows系统本地攻击案例演示：解码一次成功的NT系统破解攻击作业5：Win2K系统被攻陷加入僵尸网络Windows本地攻击本地权限提升(特权提升)破解本地安全漏洞破解口令字窃取敏感信息掩踪灭迹远程控制和后门破解漏洞进行本地权限提升Guest→Administratorgetadmin系列针对NT4的权限提升攻击工具基本技术：“DLL注入”假造LPC端口请求:MS00-003命名管道预知:MS00-053NetDDE服务漏洞:MS01-007Windows调试器攻击:MS03-013获取口令字密文口令字密文位置NT4之前：SAM安全帐户管理器%systemroot%\system32\config\SAM操作系统运行期间锁定，即使Admin帐户也不能随意查看和修改Windows2000/XP/2003:活动目录%windir%\WindowsDS\ntds.dit默认大小10MB，加密格式获取口令字密文的基本套路另一操作系统启动－拷贝密文文件：物理访问硬盘修复工具包rdisk创建SAM备份文件拷贝:rdisk/s-窃听Windows系统身份验证过程(网络监听LanMan密文)直接从SAM文件或活动目录直接提取口令字密文直接提取口令字密文pwdump(JeremyAllison):最早针对NT4SAM直接提取口令字密文要求admin权限NT4SP2增强策略:SYSKEY机制pwdump2(ToddSabin):DLL注入方法将本身代码加载到另一高优先级进程空间要求admin权限,samdump.dll库文件Windows2000/XP/2003:活动目录pwdump2的改进版本pwdump3e改进版本:通过SMB远程提取口令字密文破解口令字L0phtcrack工具多种导入SAM数据方式:本地注册表、原始SAM文件、SAM备份文件、网络监听口令字密文、L0phtcrack数据文件、pwdumpX输出文件字典破解、蛮力破解、混合式破解分布式破解:并行破解LanMan密文破解:最早被破解JohntheRipper免费破解Unix/Linux、WindowLanMan口令字缺陷：只能破解LanMan密文