网络信息对抗第五章Windows攻防技术与防御方法.ppt

网络信息对抗 主讲人 张瑜Email bullzhangyu QQ 344248003 网络信息对抗 第五章 Windows攻防技术与防御方法 提纲 Windows系统查点Windows系统远程攻击Windows系统本地攻击案例演示 解码一次成功的NT系统破解攻击作业5 Win2K系统被攻陷加入僵尸网络 Windows组网结构回顾 NetBIOS名字服务 NBNS UDP137 NetBIOS数据报服务 UDP138 NetBIOS会话服务 TCP139 MSRPC TCP135 SMB CIFS TCP445 DNS UDP53 LDAP 活动目录 TCP389 3268 普通 跨OS 网络服务查点 DNS服务DNS区域传送FTP服务匿名连接 旗标抓取HTTP服务旗标抓取 全站爬取SMTPVRFY 查看其他用户个人资料EXPN 显示假名和邮件的实际发送地址SNMP 简单网络管理协议UDP161snmpwalkxxx xxx xxx xxxpublicIPNetworkBrowser DNS查点 DNS区域传送nslookup defaultserverls dDOMAIN DNS NAME阻断DNS区域传送MMC控制台配置DNS服务去掉AllowZoneTransfers 禁止区域传送C DocumentsandSettings zhugejw nslookupDefaultServer Address 202 106 0 20 ls ls connect Noerror Can tlistdomainbta DNS查点 主机查点 NetBIOS网络查点 使用netview查点域列出网络上的工作组和域 netview domain列出指定组 域中的所有计算机 netview domain DOMAIN NAME识别域控制器nltest dclist DOMAIN NAME 主机查点 NetBIOS网络查点 NetBIOS主机查点 查看NetBIOS名字表列举 自带工具nbtstat ATARGET IP扫描 免费工具nbtscanTARGET NET NetBIOS主机查点 NetBIOS主机查点 主机查点 NetBIOS网络查点 其他工具epdump rpcdump getmac netdom netviewx Winfo nbtdump NetBIOS查点防御对策网络 防火墙禁止外部访问TCP UDP135 139 445端口主机 配置IPSec过滤器 主机个人防火墙 禁用Alerter和Messenger服务 主机查点 SMB查点 空会话 NullSession 利用SMB TCP139 445 规范中提供未认证用户查询计算机信息的APInetuse HOST IPC u IPC Windows主机间的隐蔽网络共享 用于不同主机进程间通讯查询主机共享资源netview HOSTNTRK资源包中的rmtshare srvcheck srvinfoDumpSec 共享目录查点示例 工具 DumpsecLegion 主机查点 SMB查点 2 使用nltest查点受信任域nltest server SERVER NAMEnltest trusted domain查询主机用户信息NTRK资源包 usrstat showgrps local global强大工具DumpSec 能够列出用户 组及权限GUI 主机查点 SMB查点 2 主机查点 集成工具和防范措施 NetBIOS集成查点工具enum NeteNessus主机查点防范措施网络 主机防火墙 限制对端口135 139 445的访问禁用SMB服务 除非你愿意承受windows共享服务带来的安全威胁设置HKLM SYSTEM CurrentControlSet Control LSA RestrictAnonymous注册表项为2 限制空会话查点 主机查点 集成工具和防范措施 活动目录查点 活动目录 ActiveDirectory 基于轻量级目录访问协议 LDAP TCP UDP 389活动目录全局编录端口3268利用LDAP客户端进行活动目录查点Ldp早期Nt4 x仅用guest帐户可查询所有用户和组对象活动目录查点防御对策网络边界限制对TCP389和3268端口的访问从Pre Windows2000CompatibleAccess组中删除Everyone组 MSRPC查点 MSRPC服务查点MSRPC服务 远程过程调用服务端口映射器TCP135查询该服务获得目标主机上可用的应用程序和服务相关信息Reskit工具包epdump工具epdumpHOST 应用服务绑定IP地址和端口MSRPC查点防御策略限制非授权用户对TCP135端口的访问 提纲 Windows系统查点Windows系统远程攻击Windows系统本地攻击案例演示 解码一次成功的NT系统破解攻击作业5 Win2K系统被攻陷加入僵尸网络 Windows系统远程攻击 Windows独有组网协议和服务SMB 远程口令猜测 MSRPC LSASS各种网络服务在Windows平台的具体实现IIS MSSQLServer 远程桌面社会工程学 攻击客户端软件等进阶部分 课程11 客户端攻击技术与安全加固机制 远程口令字猜测 Windows文件与打印共享服务 SMBTCP139 NetBIOSSessionServiceTCP445 SMBoverHTTP直连主机服务攻击点 默认开放的隐藏共享卷IPC 进程间通信ADMIN systemdrive 默认系统管理共享卷目标系统用户名单通过查点方法收集用户帐户信息 dumpsec内建用户 Guest Administrator 远程口令字猜测 2 图形化方式命令行方式netuse HOST IPC u Administrator请键入 HOST IPC 的密码 命令成功完成 远程口令字猜测 3 自动方式FOR批处理免费软件 Legion NetBIOSAuditingTool商业软件 SMBGrind 并发 快速 国内软件 XScan 小榕软件之流光口令字猜测方法空白口令弱口令 高概率组合 字典攻击暴力破解 远程口令字防御策略 网络防火墙 限制TCP139 445端口访问主机级安防机制限制对SMB的访问IPSec过滤器Windows防火墙禁用SMB服务 放弃Windows文件和打印共享制定和实施强口令字策略设置帐户锁定阈值激活帐户登录失败事件审计功能 定期查看EventLog使用入侵检测 防御系统进行实时报警和防御 窃听网络上的口令字交换通信 L0phtcrack 针对Windows的口令字猜测工具通常脱机工作 针对Windows口令数据库SMBPacketCaptureL0phtcrack通过窃听网络口令字交换通信进行口令破解蛮力攻击利用MS的LanMan口令字加密算法弱点 密文分段且无关联 远程口令字窃听防范措施 禁用LanMan身份验证 LMCompatibilityLevel设置为4安全策略工具 LANManagerAuthenticationLevel至少设置为2 SendNTLMResponseOnly 远程口令字窃听防范措施 提纲 Windows系统查点Windows系统远程攻击Windows系统本地攻击案例演示 解码一次成功的NT系统破解攻击作业5 Win2K系统被攻陷加入僵尸网络 Windows本地攻击 本地权限提升 特权提升 破解本地安全漏洞破解口令字窃取敏感信息掩踪灭迹远程控制和后门 破解漏洞进行本地权限提升 Guest Administratorgetadmin系列针对NT4的权限提升攻击工具基本技术 DLL注入 假造LPC端口请求 MS00 003命名管道预知 MS00 053NetDDE服务漏洞 MS01 007Windows调试器攻击 MS03 013 获取口令字密文 口令字密文位置NT4之前 SAM安全帐户管理器 systemroot system32 config SAM操作系统运行期间锁定 即使Admin帐户也不能随意查看和修改Windows2000 XP 2003 活动目录 windir WindowsDS ntds dit默认大小10MB 加密格式获取口令字密文的基本套路另一操作系统启动 拷贝密文文件 物理访问硬盘修复工具包rdisk创建SAM备份文件拷贝 rdisk s 窃听Windows系统身份验证过程 网络监听LanMan密文 直接从SAM文件或活动目录直接提取口令字密文 直接提取口令字密文 pwdump JeremyAllison 最早针对NT4SAM直接提取口令字密文要求admin权限NT4SP2增强策略 SYSKEY机制pwdump2 ToddSabin DLL注入方法将本身代码加载到另一高优先级进程空间要求admin权限 samdump dll库文件Windows2000 XP 2003 活动目录pwdump2的改进版本pwdump3e改进版本 通过SMB