Windows操作系统及其安全机制 |
您所在的位置:网站首页 › 虎杖的害处 › Windows操作系统及其安全机制 |
Windows操作系统及其安全机制
|
kali视频学习请看 http://www.cnblogs.com/lidong20179210/p/8909569.html Windows操作系统及其安全机制Windows文件系统 FAT (File Allocation Table文件分配表) 1980: FAT12 1987: FAT16 1995: FAT32 文件目录表: Table; 文件分配表: Linked List 安全性弱,正在被NTFS取代NTFS (NT File System) 1990s: M$/IBM joint project, 从OS/2文件系统HPFS继承 NTFS v3.x for Windows NT 5.x, 较FAT更具安全性(ACL),更好的性能、可靠性和磁盘利用效率 基于访问控制列表机制保证文件读写安全性 支持任意UTF-16命名,使用B+树进行索引, … Metadata保存文件相关各种数据,保存在Meta FileTable(MFT)使用Metaspoit攻击MS08-067见另一篇博文 使用Metaspoit攻击MS08-067 分析 NT 系统破解攻击问题:攻击者使用了什么破解工具进行攻击?攻击者如何使用这个破解工具进入并控制了系统?当攻击者获得系统的访问权后做了什么?我们如何防止这样的攻击?额外奖励问题:你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?待分析二进制文件位置:提示使用工具:snortnstreamwireshark1. 攻击者使用了什么破解工具进行攻击?问题解答:攻击者利用了Unicode攻击(针对MS00-078/MS01-026)和针对msadcs.dll中RDS漏洞(MS02-065)的msadc.pl/msadc2.pl 渗透攻击工具进行了攻击。分析:Unicode 攻击 Unicode 攻击原理解释. 利用微软 IIS 4.0 和 5.0 都存在利用扩展 UNICODE 字元取代"/"和"\"而能利用"../"目录遍 历的漏洞。 未经授权的用户可能利用 IUSR_machinename 账号的上下文空间访问任何已知的文件。该账号在默认情况下属于 Everyone 和 Users 组的成员,因此任何与 Web 根目录在同一逻辑驱动器上的能被这些用户组访问的文件都能被删除,修改或执行,就如同一个用户成功登陆 所能完成的一样。 %c0%af = / %c1%9c = \ MDAC SQL 注入攻击 IIS的MDAC 组件存在一个漏洞可以导致攻击者远程执行你系统的命令。主要核心问题是存在于 RDS Datafactory, DataFactory允许使用者从远端执行四项功能,包括:「Query」、「CreateRecordSet」、「ConvertToString」和「SubmitChanges」,其中「Query:查询」功能就是黑客用來入侵的地方。默认情况下, 它允许远程命令发送到 IIS 服务器中,这命令会以设备用户的身份运行,其一般默认情况下是 SYSTEM 用户。2.攻击者如何使用这个破解工具进入并控制了系统?分析:攻击工具介绍: NetcatNetCat 是一个非常简单的 Unix 工具,可 以读、写 TCP 或 UDP 网络连接(network connection)。它被设计成一个可靠的后端(back-end)工具,能被其它的程序程序或脚本直接地或容易地驱动。同时,它又是一个功能丰富的网络调试和开发工具,因为它可以建立你可能用到的几乎任何类型的连接,以及一些非常有意思的内建功能 3.当攻击者获得系统的访问权后做了什么?4. 我们如何防止这样的攻击?攻击技术背景Windows 查点 Windows SAM 口令文件破解 1、取得 Administrator 特权后,攻击者很可能会径直走向 NT 安全帐号管理器 SAM(Security Accounts Manager),SAM含有本地系统或所控制域(如果是域控)上所有用户的用户名和经加密的密码。SAM是NT系统攻击中的致命部位,与Unix/Linux的/etc/passwd文件相当。因此破解 SAM是特权升级和信任漏洞发掘的最具威力的工具之一。破解SAM揭示密码最流行的工具是经典的L0phtcrack,其宣称在450MHz P2计算机上24小时内就能破解所有的字母数字组合密码。 2、密码破解任务的第一步是获取密码文件,即获取 SAM,但该目录在操作系统运行期间是上锁的,有四种获取 SAM 数据的方法, 一是把以另外一个操作系统如DOS启动,然后从驱动器中摘取 SAM 文件; 二是拷贝由 NT 修复磁盘工具(rdisk)创建的 SAM 文件的拷贝; 三是从 SAM 中直接抽取密码散列值; 四是对网络用户名/密码交互进行网络监听和破解。 3、攻 击 者 采 用 了 第 二 种 方 法 获 取 SAM , rdisk /s- 备 份 关 键 系 统 信 息 , 在 % systemroot%\repair 目录中就会创建一个名为 sam._的 SAM 压缩拷贝,备份的 sam._文件在使 用之前需要通过 expand 进行扩展, L0phtcrack 的较新版本通过导入功能自动完成扩展工作。 4、攻击者也试图采用第三种方法获取 SAM,将从注册表中直接转存成类似 UNIX 上 /etc/password 文件的格式,完成这个工作的最初工具是由 Jeremy Allison 编写的 pwdump. 5、SAM 密码破解工具 L0phtcrack John 杀手 带 NT 扩展的 crack 5 Windows Net 命令 net 命令有着非常强大的功能,管理着计算机的绝大部分管理级操作和用户级操作,包 括管理本地和远程用户组数据库、管理共享资源、管理本地服务、进行网络配置等实用操作 NET command /HELP5.额外奖励问题:你觉得攻击者是否警觉了他的目标是一台蜜罐主机?如果是,为什么?是的,攻击者绝对意识到了他的目标是作为蜜罐主机的,因为他建立了一个文件,并输入了如下内容 C:>echo best honeypot i've seen till now |
【本文地址】