20199126 Affectation de semaine 7 "Pratique de l'attaque en réseau et de la défense" Semaine 7

Others 2020-04-14 15:10:20 views: null

[TOC]

Préface

À quel cours cette tâche appartient-elle: https://edu.cnblogs.com/campus/besti/19attackdefense Où sont les exigences pour cette tâche: https://edu.cnblogs.com/campus/besti/19attackdefense/homework/10612 Je suis ici L'objectif du cours est d' acquérir des connaissances et des compétences pertinentes en matière d'attaque de réseau et de technologie de défense. Quel aspect spécifique de cette mission m'a aidé à atteindre mon objectif: étude préliminaire de la technologie d'attaque et de défense de sécurité du système d'exploitation Windows.

1. Pratiquer le contenu

1.1 Présentation du cadre de base du système d'exploitation

1.1.1 Développement et état du système d'exploitation Windows
1.1.2 La structure de base du système d'exploitation Windows

La structure de base du système d'exploitation Windows est la suivante

Il est divisé en un noyau de système d'exploitation fonctionnant en mode privilégié du processeur (ring0) et en code d'espace utilisateur fonctionnant en mode non privilégié du processeur (ring3).

Les modules de base du noyau du système d'exploitation Windows sont les suivants

  • Exécutif Windows : l'interface supérieure du fichier de base du noyau Windows ntoskml.exe, qui contient les services de base du noyau du système d'exploitation, tels que la gestion des processus et des threads, la gestion de la mémoire, la gestion des E / S, la connexion réseau, la communication interprocessus et les services de sécurité.
  • Corps du noyau Windows : l'implémentation de la fonction et le code de prise en charge de l'architecture matérielle dans le fichier de base ntoskmnl.exe du noyau Windows, pour implémenter les fonctions du système d'exploitation sous-jacentes, telles que la planification des threads, le traitement des distributions d'interruptions et d'exceptions, les multiples mécanismes de synchronisation, etc. Fournit un ensemble de routines du noyau et d'objets de base pour aider l'exécutif à obtenir des services fonctionnels de haut niveau.
  • Pilotes de périphérique : inclut des pilotes de périphérique matériel qui mappent les opérations d'E / S utilisateur à des demandes d'E / S de périphérique matériel spécifiques, ainsi que des pilotes de système de fichiers et de périphérique réseau. Cette partie prend en charge le chargement des pilotes de périphériques matériels des fabricants de matériel tiers qui ont passé l'authentification par signature numérique dans le noyau pour exécution.
  • Couche d'abstraction matérielle : le fichier hal.dll est le code sous-jacent utilisé pour protéger les différences entre le noyau Windows et le matériel de la plate-forme.
  • Code d'implémentation du noyau de la fenêtre Windows et de l'interface graphique : fichier win 32k.sys.

Les modules de code du système d'exploitation Windows en mode utilisateur sont les suivants.

  • Processus de prise en charge du système : processus de service intégré au système qui démarre automatiquement au démarrage de Windows, tel que le processus d'ouverture de session et le processus de gestion de session qui sont responsables de l'authentification d'identité des utilisateurs connectés.
  • Processus de service du sous-système d'environnement : processus de service qui prend en charge l'environnement d'exploitation du système d'exploitation. Windows XP prend uniquement en charge le sous-système d'environnement Windows, tandis que le sous-système d'environnement conforme à la norme POSIX est fourni en tant que service gratuit pour les produits UNIX.
  • Processus de service : une série de services système et réseau démarrés via le mécanisme de gestion des services Windows, tels que le service de gestionnaire de tâches TaskScheduler, le service réseau Microsoft SQL Server, etc.
  • Logiciel d'application utilisateur : toutes sortes de logiciels d'application utilisateur exécutés en mode utilisateur.
  • DLL du sous-système principal : c'est-à-dire kernel32.d1l / user32.dll / gdi32.dll / advapi32.dll et d'autres fichiers de bibliothèque de liens dynamiques, en tant qu'interface interactive entre le processus de service en mode utilisateur et le logiciel d'application et le noyau du système d'exploitation, le système qui appelle le programme en mode utilisateur Les fonctions API sont mappées à un ou plusieurs appels de service système correspondants dans Windows.

1.2 Architecture de sécurité et mécanisme du système d'exploitation Windows

1.2.1 Architecture de sécurité Windows

L'objectif de conception de la sécurité du système d'exploitation Windows est d'adopter un modèle de sécurité cohérent, robuste et basé sur des objets qui prend en charge le partage sécurisé de divers types de ressources système telles que les processus, la mémoire, les périphériques, les fichiers et les réseaux entre plusieurs utilisateurs sur une machine. Pour répondre aux besoins de sécurité des utilisateurs professionnels, le système d'exploitation Windows 2000 avec le noyau NT5.x a passé le niveau EVAL4 de la norme d'évaluation de sécurité CC, répondant aux exigences des applications commerciales ordinaires. Le système d'exploitation Windows implémente un modèle de sécurité d'objet de base basé sur le modèle de moniteur de référence (moniteur de référence). Le modèle de moniteur de référence est un modèle classique pour la conception d'un système d'exploitation sécurisé. Comme le montre la figure 7-6, tous les sujets du système accèdent à l'objet via le moniteur de référence en tant qu'intermédiaire, qui est exécuté par le moniteur de référence conformément à la stratégie de contrôle d'accès de sécurité. Accès autorisé, tous les enregistrements d'accès sont également générés par le journal d'audit du moniteur de référence.

Basé sur le modèle de sécurité classique du moniteur de référence, le système d'exploitation Windows utilise l'architecture de sécurité illustrée à la figure 7-7 pour concevoir et implémenter le mécanisme de sécurité de base. Le noyau est la surveillance des références de sécurité SRM (Security Reference Monitor) située dans le noyau. Et le service de sécurité LSASS (Local Security Authority Subsystem Service) situé en mode utilisateur. Avec des services tels que Winlogon / Netlogon et Eventlog, ils implémentent le mécanisme d'authentification pour l'utilisateur principal, le mécanisme de contrôle d'accès pour tous les objets de ressource, Mécanisme d'audit de sécurité d'accès.

  • Le processus Winlogon et Netlogon dans LSASS sont respectivement responsables de l'authentification d'identité des utilisateurs de connexion Windows locaux et distants. Le service de vérification d'identité fourni par LSASS est utilisé pour déterminer l'authenticité de l'identité du principal de sécurité.
  • Le moniteur de référence de sécurité dans le noyau sert de contrôleur d'accès au trésor des ressources Windows. Selon la politique de contrôle d'accès de sécurité configurée par le service LSASS, il est responsable du contrôle d'accès autorisé de tous les sujets de sécurité pour accéder aux objets de ressource Windows.
  • Le moniteur de référence de sécurité enregistre les événements concernés pendant le processus d'accès selon la stratégie d'audit de sécurité configurée par le service LSASS et EventLog génère le journal d'audit du système.
1.2.2 Mécanisme d'authentification d'identité Windows

Le concept de principal de sécurité dans le système d'exploitation Windows inclut tous les objets d'entité qui effectuent des demandes d'accès aux ressources système. Il existe trois catégories d'utilisateurs, de groupes d'utilisateurs et d'ordinateurs. Pour chaque principal de sécurité, un identificateur de sécurité SID globalement unique dans le temps et l'espace Pour l'identification, SID est une chaîne de la forme "S-1-5-21-13124455-12541255-61235125-500", où S est un caractère fixe, 1 est le numéro de version et le troisième chiffre est une valeur de 48 bits, indiquant l'identification Autorité de l'opérateur (5 pour l'autorité de sécurité Windows), suivie de plusieurs ID de sous-autorité numérique 32 bits, et la dernière partie est appelée RID. Généralement, le RID d'un compte d'administrateur est 500. Windows configure des comptes pour chaque utilisateur et ordinateur à gérer, en tant qu'environnement d'exécution du code de programme de ces corps de cartes de sécurité, et le rôle fondamental des autorisations de compte est de limiter l'accès des objets de ressources système aux programmes exécutés dans ces comptes. Il existe des comptes intégrés dans le système Windows, tels que le compte Administrateur local avec la plus haute autorité, le compte SYSTEM / L ocalSystem qui exécute automatiquement l'environnement de processus système, l'utilisateur invité invité avec relativement peu d'autorisations et le service IUSR. _Machinename IIS. Compte d'accès au réseau anonyme, etc. Aux yeux des pirates, les comptes Adninistrator et SYSTEM locaux disposent des autorisations les plus élevées et sont les cibles ultimes de leurs attaques. Le groupe d'utilisateurs est un conteneur de comptes d'utilisateurs introduit pour simplifier la gestion des utilisateurs. En ajoutant un compte d'utilisateur à un groupe d'utilisateurs spécifique, l'utilisateur peut disposer de toutes les autorisations configurées par le groupe d'utilisateurs et le groupe d'utilisateurs peut être utilisé efficacement pour permettre à l'administrateur système de La charge de travail de configuration du contrôle d'autorité est considérablement réduite. Les groupes d'utilisateurs intégrés de Windows comprennent: Administrateurs du groupe d'utilisateurs local disposant des privilèges les plus élevés, opérateurs de compte / sauvegarde / serveur / impression et autres groupes d'opérations avec des autorisations système unilatérales, groupes d'utilisateurs de service réseau et de service local pour héberger les comptes de service et groupe d'utilisateurs où se trouvent tous les comptes d'utilisateur, etc. De même, les pirates souhaitent souvent ajouter le compte de porte dérobée auto-construit] au groupe d'utilisateurs Administrateurs pour obtenir les autorisations les plus élevées du système. Le mot de passe du compte d'utilisateur Windows est chiffré et stocké dans le SAM ou Active Directory AD. Les informations sur le mot de passe du compte d'utilisateur local sont chiffrées par le Hash de clé aléatoire irréversible de 128 bits et stockées dans le fichier SAM (Security Accouns Manager). Le SAM stocke À% systemroot% \ system32lconfiglsam emplacement du chemin du système de fichiers, et il y a une copie de HKEY LOCAL MACHINESAM dans le registre, mais pendant le fonctionnement de Windows, car le noyau Windows ajoute un verrou de fichier persistant au fichier SAM, donc même le compte administrateur SAM ne peut pas être lu directement via les canaux normaux, seules les autorisations de compte LocalSystem peuvent être lues, mais les pirates ont proposé une variété de techniques pour vider le contenu SAM de la mémoire, permettant ainsi le craquage par force brute des mots de passe cryptés SAM. . Les informations de mot de passe du compte de domaine Windows sont stockées dans l'AD du contrôleur de domaine. La méthode de chiffrement est la même que celle de la plate-forme autonome. L'emplacement du système de fichiers de stockage est le chemin% systemroot% 'Intds \ ntds.dit du contrôleur de domaine. Les informations de texte chiffré de mot de passe dans AD peuvent également être vidées de la mémoire via diverses techniques, Et prend en charge les attaques de craquage de mots de passe par force brute hors ligne. Pour les sujets de sécurité tels que les utilisateurs et les ordinateurs distants qui tentent d'utiliser le système Windows, Windows utilise certaines informations secrètes (telles que les mots de passe enregistrés, les empreintes digitales enregistrées, etc.) pour authentifier l'identité véritable et légale du sujet de sécurité et effectuer l'authentification de l'identité de l'utilisateur. Windows prend en charge deux méthodes d'authentification d'identité locale et d'authentification d'identité réseau, respectivement pour vérifier la légitimité du corps principal dans la connexion au système local et l'accès au réseau distant. Le processus Winlogon, la fenêtre de connexion graphique GINA et le service LSASS collaborent pour terminer le processus d'authentification d'identité locale. Le processus Winlogon s'exécute automatiquement au démarrage du système, répondant à l'entrée utilisateur de la combinaison de touches Ctrl + Alt + Suppr pour démarrer la fenêtre de connexion graphique GINA, GINA Après avoir extrait les informations de mot de passe saisies par l'utilisateur, Winlogon les transfère au service LSASS et utilise le service de vérification d'identité fourni par LSASS pour confirmer l'authenticité de l'identité de l'utilisateur, connectez-vous au système et obtenez l'autorité d'exécution du compte d'utilisateur pour les comptes vérifiés. Le processus d'authentification de l'identité du réseau est dominé par le module Netlogon du service LSASS. Lorsqu'un client Windows accède à une ressource de serveur réseau Windows distant, le module Netlogon du service LSASS client exécute un processus de protocole d'authentification basé sur "défi-réponse" avec le Netlogon du serveur. Pour vérifier l'identité de l'utilisateur du client.

1.2.3 Mécanisme d'autorisation et de contrôle d'accès Windows

Le mécanisme d'autorisation et de contrôle d'accès de Windows est basé sur le modèle de moniteur de référence. Il est implémenté par le module SRM dans le noyau et le service LSASS en mode utilisateur. SRM est utilisé comme intermédiaire lorsque le sujet de sécurité accède à la ressource cible conformément à la liste de contrôle d'accès définie Autorisez l'accès.

Une fois les principaux de sécurité tels que l'utilisateur authentifiés, le système Windows donnera à l'utilisateur un jeton d'accès, qui stocke une liste d'identificateurs SID de sujet de sécurité liés au compte d'utilisateur connecté, y compris le SID du compte d'utilisateur lui-même, l'utilisateur La liste SID du groupe contient également une liste de certains privilèges système détenus par l'utilisateur.

Windows résume toutes les ressources à protéger dans le système en objets (Object). Les types spécifiques incluent les fichiers, les répertoires, les clés de registre, les objets du noyau, les objets de synchronisation, les objets privés, les canaux, la mémoire, les interfaces de communication, etc. L'objet sera associé à un descripteur de sécurité SD (descripteur de sécurité), le descripteur de sécurité de l'objet est composé des principaux attributs suivants.

  • OwnerSID: identificateur de sécurité SID du propriétaire de l'objet.
  • Group SID: l'identifiant de sécurité SID du groupe d'utilisateurs de base où se trouve l'objet (compatible avec POSIX)
  • Liste de contrôle d'accès autonome DACL: indique quels principaux de sécurité peuvent accéder à l'objet de quelle manière. La figure 7-10 montre un exemple de configuration de la liste de contrôle d'accès de l'objet fichier.
  • Liste de contrôle d'accès d'audit du système SACL: indique les opérations d'accès initiées par quels sujets doivent être audités.

Une fois les informations de contexte de sécurité définies dans le jeton d'accès et le descripteur de sécurité du corps principal et des objets objets de Windows, le mécanisme de contrôle d'accès autorisé de Windows devient très simple et clair, c'est-à-dire le moniteur de référence de sécurité SRM dans le noyau Le module détermine si un sujet a l'accès demandé à un certain objet et, dans l'affirmative, accorde l'accès, et ce processus constitue le mécanisme de contrôle d'accès de base et le modèle de sécurité d'objet du système Windows.

1.2.4 Mécanisme d'audit de sécurité Windows

La mise en œuvre du mécanisme d'audit de sécurité Windows est également relativement claire. La stratégie d'audit du système est définie par l'administrateur système dans la stratégie de sécurité locale pour déterminer les événements que le système enregistre. La configuration de la stratégie d'audit du système Windows est illustrée à la figure 7-12: Le service LSASS enregistre la stratégie d'audit et l'enregistre dans la liste SACL du descripteur de sécurité de l'objet après que l'objet a démarré la fonction d'audit: le moniteur de référence de sécurité SRM travaille sur l'objet Lorsque l'accès est autorisé, les enregistrements d'audit des événements d'accès et d'opération spécifiés sont également envoyés au service LSASS conformément à la configuration de la liste SACL de l'objet; une fois que les détails des enregistrements d'audit sont complétés par le service LSASS, ces enregistrements d'audit sont envoyés à l'événement du journal des événements Service de journalisation; le service EventLog écrit enfin le journal des événements dans le fichier journal et l'affiche à l'administrateur système via l'outil de visualisation des événements, et peut également être utilisé comme un outil d'analyse de journal d'audit tiers pour analyser la source de données d'entrée. L'afficheur du journal des événements d'audit du système Windows est illustré dans la figure.

1.2.5 Autres mécanismes de sécurité de Windows
  • Centre de sécurité Windows: pare-feu intégré, mise à jour automatique des correctifs et protection antivirus
  • Mécanisme de cryptage et d'authentification IPSec
  • Système de fichiers crypté EFS
  • Mécanisme de protection des fichiers Windows
  • Protection de navigation privée et mécanisme de protection de la sécurité de navigation fournis par le navigateur IE fourni

La plupart de la configuration de la stratégie de sécurité Windows est concentrée dans l'interface de configuration de la stratégie de groupe, comme suit

1.3 Technologie d'attaque et de défense de sécurité à distance de Windows

La technologie d'attaque à distance de Windows peut être divisée dans les catégories suivantes:

  • Attaques de devinettes et de craquage de mots de passe à distance: y compris le craquage de force brute de mot de passe, la devinette basée sur un dictionnaire et les techniques de fraude par authentification de l'homme du milieu.
  • Attaquer les services réseau Windows: Que ce soit des services réseau uniques de Windows tels que SMB, MSRPC, NETBIOS ou des instances de service spécifiques de divers services Internet tels que IIS, MSSQL, etc. sur le système Windows, il existe inévitablement une exécution de code à distance Vulnérabilités de sécurité à haut risque, les attaquants ont utilisé ces vulnérabilités pour mener des attaques de pénétration à distance sur les services réseau Windows, obtenant ainsi un accès au système Windows.
  • Attaquer les clients et les utilisateurs de Windows: en raison de l'amélioration récente et efficace de la sécurité du système Windows et de ses propres services, les attaques de pénétration des clients contre les navigateurs Web et les logiciels d'application tiers sont devenues populaires.
1.3.2 Attaques par devinettes et craquage à distance de mots de passe Windows
  • Mesures de prévention de la devinette et de la fissuration à distance des mots de passe
    • Essayez de fermer les services réseau ouverts inutiles qui sont vulnérables aux attaques de devinement de mot de passe à distance, y compris le port TCP SMB 139/445, le port WMI TCP 135, le port de terminal TS TCP 3389 et le port MS SQL Server TCP 1433.
    • Configurez le pare-feu hôte pour restreindre les services aux ports ci-dessus. Si les utilisateurs doivent toujours utiliser ces services, mais souhaitent améliorer la protection de ces services contre la recherche de mot de passe à distance, vous pouvez configurer le pare-feu hôte.
    • Utilisez des pare-feu réseau pour restreindre l'accès à ces services.
    • La manière la plus élémentaire de gérer les attaques d'écoute et de craquage de communication par échange de mots de passe à distance consiste à désactiver les protocoles LanMan et NTLM obsolètes et intrinsèquement défectueux, mais uniquement à utiliser les protocoles d'authentification NTLMv2 et Kerberos renforcés en matière de sécurité, et devrait maintenir la mise à jour Windows automatiquement mise à jour et Confirmez que les failles de sécurité trouvées dans le protocole NTLMv2 ont été corrigées (correctifs MS08-068 et MS10-012).
    • Formuler et mettre en œuvre une stratégie de mot de passe solide pour garantir que les utilisateurs définissent des mots de passe qui répondent à certaines exigences de longueur et de complexité.

1.4 Technologie d'attaque et de défense de sécurité locale Windows

1.4.2 Vol d'informations sensibles sous Windows

  • Y compris: technologie d'extraction de texte chiffré par mot de passe du système Windows, technologie de craquage de mots de passe du système Windows, vol de données sensibles par l'utilisateur

  • Précautions contre le vol d'informations sensibles locales: utilisez des mots de passe plus sécurisés

1.4.3 Windows disparaît
  • Y compris: désactiver la fonction d'audit, nettoyer le journal des événements, les méthodes et les mesures pour disparaître
1.4.4 Télécommande Windows et programme de porte dérobée

  • Les attaquants implantent souvent des programmes tiers de contrôle à distance et de porte dérobée dans des systèmes contrôlés, qui sont principalement divisés en deux catégories: les outils publics de contrôle à distance en ligne de commande et les outils graphiques de contrôle à distance.

  • Mesures préventives contre les programmes de portes dérobées: utilisez un logiciel de détection de portes dérobées pour essayer de trouver les programmes de portes dérobées cachés par les attaquants. , Lame de glace IceSword domestique et ainsi de suite.

2. Processus de pratique

2.1 Pratique pratique: Metaploit Windows Attack

Activez Metaploit3 msfconcole, entrez pour ?afficher certaines commandes

Utilisez search ms08_067pour trouver le module d'attaque pour la vulnérabilité MS08_067 requise par la mission

Vous pouvez voir le nom, le niveau et la description des modules d'attaque disponibles. Il est préférable d'utiliser des modules excellents ou excellents. Si vous utilisez des modules normaux ou similaires, il peut ne pas y avoir d' entrée d' effet pour utiliser le module cibleuse windows/smb/ms08_067_netapi

Entrée show payloadspour sélectionner une charge utile d'attaque efficace. Le but principal de la charge utile est d'établir une connexion stable entre l'attaquant et la cible et de revenir au shell.

Après cela, vous pouvez entrer show targetspour voir le modèle de système cible que le module d'attaque peut utiliser. Bien sûr, la fenêtre de la machine cible window2k_server_SP0_taget de cette expérience est définitivement applicable à ce module.

Après avoir sélectionné la charge utile à utiliser parmi les charges utiles précédentes set payload generic/shell_reverse_tcp, la tâche nécessite que la charge utile soit un shell distant, et l'inverse est généralement une connexion inverse, c'est-à-dire que la machine cible est connectée à la machine d'attaque en sens inverse, et la liaison est connectée dans le sens direct.

Après avoir sélectionné la connexion inverse, vous devez définir l'IP et le port cible et l'IP de la machine attaquante

Une fois le réglage terminé, vous pouvez entrer exploitou runattaquer

Vous pouvez voir que les informations sur la machine cible peuvent être obtenues via le shell, ce qui est cohérent avec l'affichage sur la machine cible

2.2 Incident de confrontation d'équipe

Comme je suis une expérience personnelle, j'agirai à la fois comme attaquant et comme défenseur. Tout d'abord, l'attaquant utilise le programme de la console metaploit3. Tout d'abord nmap -sV 192.168.200.125, utilisez nmap pour voir quels ports et services la machine cible peut devenir la cible de l'attaque.

Recherchez simplement un service pour voir si metaploit3 a un module d'attaque correspondant, c'est vous, Apache,search Apache

Voir un excellent module d'attaque, essayer de manière décisive, use linux/http/piranha_passwd_exec puis voir s'il y a une charge utile

Seulement normal, d'accord! Essayez! Ensuite, définissez les paramètres comme précédemment

exploitEssayez-le

? ? ? Aucune session, alors nous en construisons une,set session 1

Toujours pas. . Je ne peux pas vérifier ici, mais selon Internet, la machine cible n'a pas cette faille et est sûre. . D'accord, changeons-en un

Changer Samba, la même opération à nouveau

Connectez-vous avec succès, créez un hacksuccess

Pendant la conduite de l'attaque ci-dessus, j'ai également ouvert Wheelshark pour flairer le réseau

Regardez d'abord arp pour déterminer qui a attaqué qui

Voir est diffusé 192.168.200.3enquête 192.168.200.125 mis en place ip.src ==192.168.200.3 && ip.dst == 192.168.200.125pour voir

On peut voir qu'il y en a deux noirs [tcp dup ack xxxx#1], et les gris rouges en face peuvent être connus comme l'attaquant recherchant le port ouvert de la machine cible, et les deux de ce côté indiquent que les données sont perdues tcp, et ce genre de chose apparaît généralement lorsque le retard du réseau augmente À ce moment-là, pouvons-nous comprendre que la congestion du réseau causée par l'avion d'attaque attaquant l'avion cible à ce moment? Et il y a deux messages SMB devant. Baidu sait que SMB est utilisé pour la connexion Web et la communication d'informations entre le client et le serveur. Le message suivant provient du port 4444 de la machine d'attaque. Examinons [PSH,ACK]le message. PSH signifie que le message transporte des données.

On peut voir que la machine attaquante a envoyé une ifconfigcommande et que la machine cible a renvoyé les informations correspondantes, indiquant que l'attaque de l'attaquant a réussi. Ensuite, le contenu du message entre eux doit être shellcode

Ensuite, nous savons qu'il y a une livraison de message SMB avant

Étant donné que la seule connexion valide provient du port 4444 de l'attaque lancée contre le port 139 de la machine cible, on peut considérer que l'attaquant attaque la vulnérabilité du canal SMB via le service sur le port 139.

2.3 Pratique de l'analyse médico-légale: décodage d'une attaque de craquage de système NT réussie.

Un attaquant de 213.116.251.162 a réussi à capturer un hôte honeypot 172.16.1.106 (nom d'hôte: lab.wiretrip.net) déployé par rfp. Il s'agit d'une attaque très typique contre le système NT, et nous avons des raisons On pense que l'attaquant a finalement identifié l'hôte du pot de miel, ce sera donc un défi d'analyse de cas très intéressant. Votre source de données d'analyse ne dispose que d'un fichier journal binaire contenant l'intégralité du processus d'attaque, et votre tâche consiste à extraire et analyser l'ensemble du processus de l'attaque à partir de ce fichier.

  • 1. Quels outils de craquage l'attaquant a-t-il utilisé pour attaquer?
  • 2. Comment l'attaquant a-t-il utilisé cet outil de piratage pour entrer et contrôler le système?
  • 3. Qu'a fait l'attaquant après avoir accédé au système?
  • 4. Comment pouvons-nous empêcher de telles attaques?
  • 5. Pensez-vous que l'attaquant est conscient que sa cible est un hôte de pot de miel? Si oui, pourquoi?
Question 1: Quels outils de piratage l'attaquant a-t-il utilisés pour attaquer?

Importez d'abord le fichier journal dans Wireshark, jetez un œil au paquet de données

Nous connaissons l'IP de la machine attaquante: 213.116.251.162et l'IP de la machine cible:172.16.1.106

Voyant une telle chose %CO%AF, Baidu sait qu'il s'agit d'une représentation UTF-8 illégale du caractère "/". Reportez-vous à l'attaque de vulnérabilité Unicode d' IIS pour savoir qu'il s'agit d'une attaque de vulnérabilité de codage Unicode

Parce qu'ils sont essentiellement des paquets tcp ou http, suivons le flux de données

Dans le flux de données TCP tracé, vous pouvez voir qu'il y en a un en haut qui !ADM!ROX!YOUR!WORLD!apparaît plusieurs fois. La requête montre que cela provient d'un outil d'attaque appelé msadc2.pl

Question 2: Comment l'attaquant a-t-il utilisé cet outil de craquage pour entrer et contrôler le système?

Voir l'attaquant écrit dans le shell dans le flux tcp ci-dessus pour effectuer certaines opérations pour attaquer

Filtre à commande shell l'attaque parse, l'attaquant en créant un script ftpcom, utilisez une connexion ftp www.nether.net, et johna2kpour les utilisateurs haxedj00à télécharger un mot de passe nc.exe, pdump.exeetsamdump.dll

Question 3: Qu'a fait l'attaquant après avoir accédé au système?

Après avoir pris le contrôle du système, l'attaque a effectué une série d'opérations

Question 4: Comment pouvons-nous empêcher de telles attaques?
  • Analysez et réparez les vulnérabilités à temps, corrigez fréquemment
  • Désactivez les services inutilisés à temps
  • Utiliser NTFS
Question 5: Pensez-vous que l'attaquant est conscient que sa cible est un hôte de pot de miel? Si oui, pourquoi?

L'entrée de l'attaquant montre qu'il a découvert que la cible est l'hôte du pot de miel

3. Résumé de la pratique

Le fichier journal est très compliqué et il était impossible de commencer depuis le début, mais je peux encore voir un petit indice à travers différents flux de données. J'attendais avec impatience le dernier flux de données. Je pense que l'opération après avoir obtenu le contrôle du système cible sera toujours simple. Après l'expérience, je me sens toujours flou et toujours pas assez sensible aux données. Besoin d'être amélioré.

Les références

Je suppose que tu aimes

Origine www.cnblogs.com/fuhara/p/12680078.html
conseillé
Classement
du quotidien
Plus
2024-07-22(0)
2024-07-21(0)
2024-07-20(0)
2024-07-19(0)
2024-07-18(0)
2024-07-17(0)
2024-07-16(0)
2024-07-15(0)
2024-07-14(0)
2024-07-13(0)

Code World

© 2018 codetd.com