基于认证的入侵

基于认证的入侵 回顾 IPC 入侵IPC 的入侵方法使用IPC 入侵的条件使用IPC 留后门帐号批处理文件的使用远程管理计算机计算机管理控制台管理远程管理计算机使用命令行管理计算机Telnet入侵Telnet入侵的条件使用Telnet入侵的方法Telnet入侵中去掉NTLM验证的方法 2 远程命令的执行 能够远程执行命令 也就完全控制了远程主机 使用Telnet执行远程命令就是其中一种主要方法 使用工具PSEXEC可以不用Telnet实现远程命令的执行 使用方法PSEXEC computer uuser ppassword s i c f d cmd arguments 3 PSEXEC参数说明 u登陆远程主机的用户名 p登陆远程主机的密码 i与远程主机交互执行 c拷贝本地文件到远程主机系统并执行 f拷贝本地文件到远程主机系统目录并执行 如果远程主机已经存在该文件 则覆盖 d不等待程序结束 4 PSEXEC使用实例一 通过PSEXEC实现与Telnet登录同样的功能使用命令psexec 192 168 0 106 uadministrator p cmd 5 PSEXEC使用实例二 使用PSEXEC 将本地可执行程序拷贝到远程主机执行 6 PSEXEC使用方式说明 如果要在远程主机建立后门帐号 可以使用命令psexec 192 168 0 106 uadministrator p netuserabcabc add如果将本地文件拷贝到远程主机并执行过程中 远程主机存在同名文件 则使用 f选项 i选项一般不使用 否则在本地执行的命令远程主机也能看到 7 远程进程查 杀 入侵者对远程主机的彻底控制包括远程察看 杀死远程主机的进程 使用PSEXEC和Aproman可以实现这一过程Aproman的使用回顾Aproman exe p 显示端口进程关联关系Aproman exe t PID 杀掉指定进程号的进程Aproman exe f FileName 把进程及模块信息存入文件 8 使用PSEXEC和Aproman查 杀进程 步骤一 将Aproman exe拷贝到本机磁盘步骤二 使用PSEXEC将Aproman exe拷贝到目的主机并执行步骤三 通过指定进程号杀死远程主机的进程 使用命令psexec 192 168 0 106 uadministrator p daproman t1280 9 使用pslist和pskill实现进程查杀 pslist exe是命令行方式下远程查看进程的工具 其使用方法为 pslist t m x computer uusername ppassword name pid t显示线程 m显示内存细节 x显示进程 内存和线程name列出指定用户的进程pid显示指定PID的进程信息pskill exe是命令行方式下远程杀进程的工具 其使用方式为 pskill computer u用户名 进程号 进程名 10 使用pslist和pskill查杀calc实例 11 远程执行命令总结 计划任务方式获得帐号和密码建立IPC 连接开放计划任务服务Telnet方式获得帐号和密码开放telnet服务去掉NTLM验证PSEXEC方式获得帐号和密码需要IPC 连接的支持开放Server服务 12 入侵注册表 在早期的DOS系统中 系统通过使用BAT文件来为DOS系统加载驱动程序 Windwos3 x中 系统通过Win ini System ini Control ini program ini等INI文件来保存操作系统的软 硬件的配置信息和驱动程序 INI文件最大64KB 从Windows95开始 通过注册表 用户便可以轻易的添加 删除 修改系统内的软 硬件配置信息和驱动程序 13 开启远程主机的注册表 入侵者通过远程控制和入侵注册表需要的条件建立IPC 连接开启远程注册表服务 14 开启远程主机的注册表 开启远程注册表服务的过程如下 建立IPC 连接打开 计算机管理 用 计算机管理 管理远程计算机开启远程注册表服务关闭 计算机管理 断开IPC 连接 15 连接远程主机的注册表 一 入侵者可以通过Windows自带的工具连接远程主机的注册表并进行修改 步骤一 执行regedit来打开注册表编辑器步骤二 建立IPC 连接步骤三 连接远程主机注册表 选择 注册表 连接网络注册表 步骤四 断开网络注册表 16 注册表reg文件的编辑 入侵者除了使用注册表编辑器编辑注册表外 还可以通过手工倒入reg文件修改远程主机的注册表reg文件是Windows系统中一种特定格式的文本文件 它是为注册表的信息编辑而设计的文件 通过reg可以修改注册表的任意一项 但是通过网络连接珠册表编辑器一般只能看到三个根项 17 使用reg文件修改注册表实例 步骤一 打开记事本 然后编辑添加主键 在记事本中写入 REGEDIT4 HKEY CURRENT USERS Software HACK 18 使用reg文件修改注册表实例 保存文件为test1 reg 双击该文件 便建立了HACK主键 19 使用reg文件修改注册表实例 为HACK主键建立一个名字为 NAME 类型为 DWORD 值为 00000000 的键值项 打开记事本 写入 REGEDIT4 HKEY CURRENT USER Software HACK NAME dword 00000000保存为TEST2 REG文件 然后双击导入 20 使用reg文件修改注册表实例 删除键值项REGEDIT4 HKEY CURRENT USER Software HACK NAME 删除主键REGEDIT4 HKEY CURRENT USERS Software HACK 21 命令行导入 上面实例中通过双击导入注册表 容易被远程主机管理员发现 因为每次导入都会有提示对话框 22 命令行导入 通过命令行倒入使用专门的注册表导入工具使用windows系统自带的导入工具windows自带的导入工具使用命令 regedit sregedit是系统自带的命令 不使用任何工具 s表示不需要询问 直接倒入 23 远程关机方法一 远程关机方法一打开计算机管理 本地 在控制台树中 右键单击 计算机管理 然后单击 连接到另一台计算机 在 选择计算机 对话框 名称 下 选择要重新启动或关闭的计算机 然后单击 确定 右键单击远程计算机 计算机管理 然后选择 属性 在 高级 选项卡上 单击 启动和故障恢复 中的 设置 按钮单击 关闭 按钮 打开 关闭 对话框在 操作 栏中 选择要在连接的计算机上执行的操作在 强制应用程序关闭 栏中 选择关闭或重新启动计算机时是否强制关闭程序 然后单击 确定 按钮 24 远程关机方法二 使用Windows2003 XP中的shutdown命令远程关机 对于没有该命令的系统 如windows2000 可以将shutdown exe工具拷贝到windows2000的系统文件夹 就可以使用了shutdown经常使用的参数s 关闭计算机r 重新启动计算机m ip 指定被操作的远程计算机txx 指定多少时间后关闭或者重新启动计算机使用shutdown关闭远程计算机 必须先建立IPC 连接 例如 shutdown s m 192 168 0 106 t00实现远程关闭 25 获取帐号密码 本章介绍的 基于认证的入侵 即基于 用户名 密码 认证的入侵 因此 存在获得口令的问题入侵者一般采取以下手段来获取远程主机的管理员密码 弱口令扫描 找到存在弱口令的主机密码监听 通过Sniffer 嗅探器 监听社交工程学 通过欺诈手段或人际关系获取暴力破解 获取密码只是时间问题其它方法 种植木马 安装键盘记录程序 26 字典工具 暴力破解是密码的终结者 当入侵者无法找到目标系统的缺陷时 暴力破解便是最好的方法暴力破解需要的是一个安排合理的字典文件和充足的时间建立黑客字典 可以使用流光中的黑客字典工具 27 黑客字典流光版 通过 工具 字典工具 黑客字典工具 在流光中打开黑客字典 28 流光黑客字典使用实例一 入侵者使用黑客流光字典产生一个符合如下要求的密码文件 3位字母 a g 和2位数字 0 9 的组合首字母大写数字在字母之后 29 流光黑客字典使用实例一 步骤一 打开字典工具 在设置选项卡中设置字母和数字范围 30 流光黑客字典使用实例一 步骤二 在 选项 选项卡中设置仅仅首字母大写 31 流光黑客字典使用实例一 步骤三 在文件存放位置选项卡选择存放字典文件的位置 32 流光黑客字典使用实例一 步骤四 如果设置属性符合要求 可以点击 开始 生成密码字典 33 流光黑客字典使用实例一 步骤五 查看1 dic文件 34 流光黑客字典使用实例二 使用 高级选项 来产生一个如下要求的密码文件 3位字母 a g 和2位数字 0 9 首字母大写数字在3 4位 字母在1 2 5位 35 流光黑客字典使用实例二 在设置好字典 设置 选项 后 点击 高级选项 选项卡 36 流光黑客字典使用实例二 设置文件存放位置 查看字典属性 如果没有问题 则生成字典如下 37 流光黑客字典使用实例三 实际中密码长度很大 生成的密码字典文件很大 如果使用一台主机进行暴力破解 恐怕需要几十年 几百年入侵者往往将较大的密码文件分成多份 然后上传到几十台 几百台 肉鸡 上 让不同的 肉鸡 来破解不同的密码文件 38 流光黑客字典使用实例三 生成密码文件 并将体积庞大的文件拆分成若干小分 6位字母 a g 和2位数字 0 9 首字母大写数字在3 4 字母在1 2 5 6 7 8文件拆分成10份 39 流光黑客字典使用实例三 40 远程暴力破解 WMICracker这是一款破解NT主机帐号密码的工具 是windowsNT 2000 XP 2003的密码杀手 破解时 需要目标主机开放135端口 使用方法 WMICracker exe Threads 参数说明 目标ip 待破解的帐号 必须属于管理员组 密码文件 线程数 默认80