windows 系統(tǒng)安全-系統(tǒng)漏洞分析與防范

1、Windows 系統(tǒng)安全---------系統(tǒng)漏洞分析與防范,,Windows NT系統(tǒng)簡(jiǎn)介,Windows NT/2000/XP都是基于WinNT內(nèi)核，安全性比Windows 9x明顯提高。主要體現(xiàn)在：提供了對(duì)安全性有影響的管理手段——用戶(hù)帳號(hào)和用戶(hù)密碼、域名管理、用戶(hù)組權(quán)限、共享資源的權(quán)限等。用戶(hù)帳號(hào)和用戶(hù)密碼 Windows NT的安全機(jī)制通過(guò)請(qǐng)求用戶(hù)帳號(hào)和用戶(hù)密碼來(lái)幫助保護(hù)計(jì)算機(jī)及其資源。給值得信任的使用

2、者，按其使用的要求和網(wǎng)絡(luò)所能給予的服務(wù)分配合適的用戶(hù)帳號(hào)，并且設(shè)定相應(yīng)的賬號(hào)密碼。,Windows NT系統(tǒng)簡(jiǎn)介,域名管理 (1) 以Windows NT組建的網(wǎng)絡(luò)是一個(gè)局域網(wǎng)范圍的網(wǎng)。 (2) 域：指網(wǎng)絡(luò)服務(wù)器和其它計(jì)算機(jī)的邏輯分組，凡是在 共享域范圍內(nèi)的用戶(hù)都使用公共的安全機(jī)制和用戶(hù)帳 號(hào)信息。 (3)每個(gè)用戶(hù)有一個(gè)賬號(hào)，每次登錄的是一個(gè)域，而不是

3、 某一個(gè)服務(wù)器。即使在物理上相隔較遠(yuǎn)，但在邏輯上 可以在一個(gè)域上，這樣便于管理。 (4)域所用的安全機(jī)制信息或用戶(hù)帳號(hào)信息都存放在目 錄數(shù)據(jù)庫(kù)中（安全帳號(hào)管理器SAM數(shù)據(jù)庫(kù)）。,Windows NT系統(tǒng)簡(jiǎn)介,域名管理 (5) 目錄數(shù)據(jù)庫(kù)存放在服務(wù)器中，并且復(fù)制到備份服務(wù)器中。 (6) 通過(guò)有規(guī)律的適當(dāng)處理，可以保證數(shù)據(jù)庫(kù)的安全性、有

4、 效性。 (7)在用戶(hù)每次登錄時(shí)，通過(guò)目錄數(shù)據(jù)庫(kù)檢查用戶(hù)的賬號(hào)和 密碼。所以在對(duì)NT進(jìn)行維護(hù)時(shí)應(yīng)該小心目錄數(shù)據(jù)庫(kù)的完 整性，一般只有管理員才有權(quán)限管理目錄數(shù)據(jù)庫(kù)。,Windows NT系統(tǒng)簡(jiǎn)介,用戶(hù)組權(quán)限 （1）管理員根據(jù)用戶(hù)訪問(wèn)網(wǎng)絡(luò)的類(lèi)型和等級(jí)給用戶(hù)分組，組有全局組和本地組。 （2）全局組由一個(gè)域的幾個(gè)用戶(hù)帳號(hào)組成，所謂全局是指可以授予該組使用多個(gè)（全

5、局）域資源的權(quán)利和權(quán)限，全局組只能在域中創(chuàng)建。 域全局組： 成員范圍：自己所在的域 使用范圍：所有的域 （3）本地組由用戶(hù)帳號(hào)和一個(gè)或多個(gè)域中的全局組構(gòu)成 域本地組： 成員范圍：所有的域 使用范圍：自己所在的域,Windows NT系統(tǒng)簡(jiǎn)介,共享資源的權(quán)限 （1）W

6、indows NT允許用戶(hù)指定共享的資源。資源共享后，可以通過(guò)網(wǎng)絡(luò)限制某些用戶(hù)對(duì)他的訪問(wèn)權(quán)限，這稱(chēng)為共享權(quán)限的限制。針對(duì)不同的用戶(hù)，可以利用資源共享及資源權(quán)限來(lái)創(chuàng)建不同的資源安全級(jí)別。 （2）Windows NT在其文件系統(tǒng)NTFS中，可以使用權(quán)限對(duì)單個(gè)文件進(jìn)行保護(hù)，并且可以把該權(quán)限應(yīng)用于本地訪問(wèn)和網(wǎng)絡(luò)訪問(wèn)中。 通過(guò)以上的四個(gè)管理手段，實(shí)行嚴(yán)格的用戶(hù)名密碼認(rèn)證，并根據(jù)操作需求賦予相應(yīng)的權(quán)限，從而獲得對(duì)系統(tǒng)訪問(wèn)的嚴(yán)

7、格控制。,Windows NT常見(jiàn)安全漏洞,通過(guò)NETBIOS實(shí)現(xiàn)信息收集與滲透 NETBIOS(網(wǎng)絡(luò)基本輸入輸出系統(tǒng)）：描述怎樣將網(wǎng)絡(luò)基本輸入輸出系統(tǒng)操作變換為等價(jià)的因特網(wǎng)操作的規(guī)則. 通過(guò)端口掃描程序掃描目標(biāo)機(jī)或網(wǎng)絡(luò)通過(guò)NETBIOS進(jìn)行信息收集 如端口掃描程序報(bào)告端口139在目標(biāo)機(jī)上是開(kāi)放的，那么接下來(lái)就是一個(gè)很自然的過(guò)程。 發(fā)出Nbtstat命令。Nbtstat命令可以用來(lái)查詢(xún)目標(biāo)機(jī)的NETBIO

8、S信息。如: D:> nbtsta –A 10.111.179.159 (-a: 列出為其主機(jī)名提供的遠(yuǎn)程計(jì)算機(jī)名字表). 入侵者可以通過(guò)Nbtstat的輸出信息收集有關(guān)你的機(jī)器的信息，有了這些信息，入侵者就可能在一定程度上斷定有哪些服務(wù)正在目標(biāo)機(jī)上運(yùn)行，有時(shí)也能斷定已經(jīng)安裝了那些軟件包。一般來(lái)講，每個(gè)服務(wù)或主要的軟件包都具有一定的脆弱性，因此，這種類(lèi)型的信息對(duì)入侵者是有用的。,Windows NT常見(jiàn)安全漏洞,猜測(cè)密碼

9、如果入侵者發(fā)現(xiàn)你的機(jī)器上的共享目錄，將會(huì)試圖進(jìn)入你的硬盤(pán)。有時(shí)共享可能設(shè)有口令，不過(guò)入侵者會(huì)繼續(xù)進(jìn)行Brute Force（強(qiáng)行）攻擊。 Brute Force 最常用的工具是NAT工具,這個(gè)工具讓用戶(hù)能夠通過(guò)可能的用戶(hù)/口令列表使網(wǎng)絡(luò)連接命令自動(dòng)操作。NAT 將通過(guò)所提供的列表中的每個(gè)用戶(hù)名和每一個(gè)口令試著連接到遠(yuǎn)程機(jī)上。借助工具Ntscan進(jìn)行Brute Force攻擊，破解用戶(hù)名/口令對(duì)。,Windows NT常見(jiàn)安全漏洞,升

10、級(jí)權(quán)限 攻擊者獲得系統(tǒng)一定的訪問(wèn)權(quán)限后通常要把自己的權(quán)限提升到管理員組，這樣就可以控制了該計(jì)算機(jī)系統(tǒng)。 獲得管理員密碼后，下次就可以用該密碼進(jìn)入系統(tǒng)。先建立一個(gè)用戶(hù)，然后把這個(gè)用戶(hù)添加到管理員組，或者直接把一個(gè)不起眼的用戶(hù)添加到管理員組。安裝后門(mén)。方法:下載系統(tǒng)的%windir%\repair\sam.*文件,然后用Lopht等軟件破解.,Windows NT常見(jiàn)安全漏洞,破解SAM文件 SAM中包含有本地系

11、統(tǒng)及所控制域的所有用戶(hù)信息和用戶(hù)名及密碼。SAM文件是經(jīng)過(guò)加密后的一個(gè)文檔. 其中破解SAM最為常用的工具就是L0pht,如果有一臺(tái)PII450，黑客們便可以利用L0pht在24小時(shí)內(nèi)破解出所有可能的數(shù)字與字母組合。,Windows NT常見(jiàn)安全漏洞,SAM文件的獲取 Windows NT把SAM存放在%systemroot%\system32\config目錄下,而且在服務(wù)器的NT系統(tǒng)運(yùn)行過(guò)程中SAM是被鎖死的,甚至

12、Administrator用戶(hù)也無(wú)權(quán)更改。 (1)啟動(dòng)引導(dǎo)另一操作系統(tǒng) 不直接啟動(dòng)NT系統(tǒng)，而用另一個(gè)引導(dǎo)服務(wù)器，SAM文件的保護(hù)顯然就失去了作用。黑客通常會(huì)使用System Internals公司的NTFSDOS的系統(tǒng)驅(qū)動(dòng)來(lái)獲得對(duì)NTFS硬盤(pán)格式訪問(wèn)的權(quán)限，然后將SAM文件提取。,Windows NT常見(jiàn)安全漏洞,SAM文件的獲取 (2)獲取備份的SAM NT中的修復(fù)磁盤(pán)工具會(huì)備份系統(tǒng)中的關(guān)鍵信息，其中也

13、包括SAM文件。黑客一般會(huì)選擇L0pht進(jìn)行導(dǎo)入完成獲取備份的工作。 (3) 從SAM中導(dǎo)出散列加密值　如獲得Administrator訪問(wèn)權(quán)限，黑客很容易獲取到NT在注冊(cè)表中存儲(chǔ)的SAM密碼散列．用L0pht或者Pwdump 這兩個(gè)工具都可以容易的獲取到這些加密值．,防范辦法,防范最好的辦法——安裝漏洞補(bǔ)丁 微軟已經(jīng)對(duì)發(fā)現(xiàn)的大多數(shù)安全漏洞提供了補(bǔ)丁，這些補(bǔ)丁可以在www.microsoft.com/security網(wǎng)站

14、下載。達(dá)到系統(tǒng)本身提供的安全能力 Windows NT資源工具箱軟件提供C2配置管理器c2config.exe, 運(yùn)行他可以核查你的系統(tǒng)配置，并指出為符合C2級(jí)安全標(biāo)準(zhǔn)，你必須修改什么配置。系統(tǒng)安全設(shè)置使用NTFS個(gè)格式分區(qū)。最好建立兩個(gè)邏輯分區(qū)，一個(gè)用作系統(tǒng)分區(qū)，一個(gè)用作應(yīng)用程序分區(qū)。盡量修改“我的文檔”及“Outlook Express”等應(yīng)用程序的默認(rèn)文件夾位置，使其位置不在系統(tǒng)分區(qū)。,防范辦法,(2) 運(yùn)行防病毒

15、軟件;關(guān)閉默認(rèn)共享；鎖住注冊(cè)表；禁止用戶(hù)從軟盤(pán)和光盤(pán)啟動(dòng)系統(tǒng)；利用Windows NT安全配置工具來(lái)配置安全策略。服務(wù)安全配置關(guān)閉不必要的端口。關(guān)閉端口意味著減少功能。禁用NETBIOS。設(shè)置好安全紀(jì)錄的訪問(wèn)權(quán)限;安全紀(jì)錄在默認(rèn)情況下是沒(méi)有保護(hù)的。把他設(shè)置成只有Administrators和系統(tǒng)帳戶(hù)才有權(quán)訪問(wèn)。禁止建立空連接，默認(rèn)情況下，任何用戶(hù)都可通過(guò)空連接連上服務(wù)器，進(jìn)而枚舉出帳號(hào)，猜測(cè)密碼。我們可以通過(guò)修改注冊(cè)表

16、來(lái)禁止建立空連接.關(guān)閉不需要的服務(wù)。,一個(gè)攻擊Windows NT系統(tǒng)過(guò)程(一),1. 收集信息對(duì)于Windows NT的主機(jī)，一般通過(guò)默認(rèn)的共享“Ipc$”進(jìn)行。Ipc$(進(jìn)程間通信)共享是NT主機(jī)上一個(gè)標(biāo)準(zhǔn)的隱藏共享,主要用于服務(wù)器到服務(wù)器的通信.如果主機(jī)啟動(dòng)了Server服務(wù)，就可以建立了不需要賬號(hào)和密碼的空連接，通過(guò)“Ipc”, 就可以利用工具或者自己編寫(xiě)的程序得到主機(jī)的賬號(hào)列表和共享（默認(rèn)和設(shè)置）列表。,2. 得到密碼

17、得到賬號(hào)列表后，可以通過(guò)Brute Force的方法得到密碼。,一個(gè)攻擊Windows NT系統(tǒng)過(guò)程(二),3. 破解出Administrator的密碼破解一個(gè)user賬號(hào)密碼后，進(jìn)步破解Administrator的密碼獲取\winnt\repair\sam ,然后用工具Pwdump破解。,4. 得到管理員特權(quán)后留后門(mén)用微軟的“Netsvc.exe”工具，它可以啟動(dòng)遠(yuǎn)程計(jì)算機(jī)上的服務(wù)netsvc\\1.1.1.1 tlntsvr/

18、start,一般啟動(dòng)“Schedule”服務(wù)。把“Netcat.exe” 放在遠(yuǎn)端計(jì)算機(jī)上，然后用“At”命令啟動(dòng)他；,一個(gè)攻擊Windows NT系統(tǒng)過(guò)程(二),Telnet 1.1.1.1 99把Guest用戶(hù)激活：net user guest /active:yes把Guest用戶(hù)設(shè)置一個(gè)密碼：net user guest abcd把Guest加到Administrators 組中：net locatgroup admin

19、istrators guest/add使用Telnet管理工具“WinNT\system32\tlnadmn.exe”在注冊(cè)表選項(xiàng)把NTLM設(shè)置為“0”，防止Telnet服務(wù)要求NTLM認(rèn)證。用管理員身份建立遠(yuǎn)程計(jì)算機(jī)的Ipc連接后，可以用事件查看器、注冊(cè)表編輯器等各種管理工具連接到遠(yuǎn)程計(jì)算機(jī)進(jìn)行管理。獲取遠(yuǎn)程計(jì)算機(jī)上“WinNT\repair”下的sam文件，用工具破解。,針對(duì)此類(lèi)攻擊的防御方法,停止“Server”服務(wù)。該服務(wù)

20、提供RPC（遠(yuǎn)程過(guò)程控制）支持、文件、打印以及命名管道共享。用“Net Share”命令確認(rèn)默認(rèn)的共享已經(jīng)刪除，查看手工設(shè)置的共享，刪除不需要的共享。停止TCP/IP Services 服務(wù)，該服務(wù)支持以下的TCP/IP服務(wù)。Character Generator, Daytime, Discard, Rcho, Quote of the Day 服務(wù)。此服務(wù)對(duì)應(yīng)多個(gè)端口，如“７，９，１７”等，可能導(dǎo)致DDOS攻擊.用“Net S

21、tart”命令查看啟動(dòng)的服務(wù)。確認(rèn)停止所有不必要的服務(wù)，特別是停止“Telnet, Ftp”服務(wù)等。用net user和net localgroup命令查看異常的用戶(hù)和本地組,刪除或僅用不必要的賬號(hào).如Guest等。用掃描工具檢查開(kāi)放的可疑端口,查找木馬。禁止一般用戶(hù)從網(wǎng)絡(luò)訪問(wèn)計(jì)算機(jī)。,一次針對(duì)Windows 2000的入侵過(guò)程(一),1. 探測(cè)選擇攻擊對(duì)象，了解部分簡(jiǎn)單的對(duì)象信息。這里，針對(duì)具體的攻擊目標(biāo)，隨便選擇了一組IP

22、地址，進(jìn)行測(cè)試，選擇處于活動(dòng)狀態(tài)的主機(jī)，進(jìn)行攻擊嘗試；Pinger程序查找IP地址針對(duì)探測(cè)的安全建議對(duì)于網(wǎng)絡(luò)：安裝防火墻，禁止這種探測(cè)行為對(duì)于主機(jī)：安裝個(gè)人防火墻軟件，禁止外部主機(jī)的ping包，使對(duì)方無(wú)法獲知主機(jī)當(dāng)前正確的活動(dòng)狀態(tài),一次針對(duì)Windows 2000的入侵過(guò)程(二),2. 掃描使用的掃描軟件這里選擇的掃描軟件是SSS（Shadow Security Scanner），目前的最高版本是5.3.1，SSS是俄羅斯的

23、一套非常專(zhuān)業(yè)的安全漏洞掃描軟件，能夠掃描目標(biāo)服務(wù)器上的各種漏洞，包括很多漏洞掃描、端口掃描、操作系統(tǒng)檢測(cè)、賬號(hào)掃描等等，而且漏洞數(shù)據(jù)可以隨時(shí)更新。掃描遠(yuǎn)程主機(jī) 開(kāi)放端口掃描 操作系統(tǒng)識(shí)別 SSS本身就提供了強(qiáng)大的操作系統(tǒng)識(shí)別能力，也可以使用其他工具進(jìn)行主機(jī)操作系統(tǒng)檢測(cè)。 主機(jī)漏洞分析,掃描結(jié)果：端口掃描,可以看出幾個(gè)比較知名的端口均處于打開(kāi)狀態(tài)，如139、80等 嘗試使用Unicode漏洞攻擊，無(wú)效?？赡苤鳈C(jī)已經(jīng)使用了SP進(jìn)

24、行補(bǔ)丁或未開(kāi)放遠(yuǎn)程訪問(wèn)權(quán)限,掃描結(jié)果：操作系統(tǒng)識(shí)別,掃描結(jié)果：漏洞掃描,SSS可對(duì)遠(yuǎn)程主機(jī)進(jìn)行漏洞檢測(cè)分析，這更方便了我們了解遠(yuǎn)程主機(jī)的狀態(tài)，選擇合適的攻擊入口點(diǎn)，進(jìn)行遠(yuǎn)程入侵 主機(jī)的帳號(hào)密碼使用的是“永不過(guò)期”方式，我們可以接下去進(jìn)行帳號(hào)密碼的強(qiáng)行破解,一次針對(duì)Windows 2000的入侵過(guò)程(四),4. 滲透Administrator口令強(qiáng)行破解 目標(biāo)主機(jī)是一臺(tái)個(gè)人主機(jī)，絕大部分情況下，均使用Administrator帳號(hào)

25、進(jìn)行登陸，且個(gè)人防范意識(shí)較差的話，選擇的密碼一般都較簡(jiǎn)單，如“主機(jī)名”、“11111”、“12345”之類(lèi)的簡(jiǎn)單密碼（方便自己的快速登陸）。所以考慮利用NetBIOS會(huì)話服務(wù)（TCP 139）進(jìn)行遠(yuǎn)程密碼猜測(cè)。 這里我們使用NAT（NetBIOS Auditing Tool）進(jìn)行強(qiáng)行破解：構(gòu)造一個(gè)可能的用戶(hù)帳戶(hù)表，以及簡(jiǎn)單的密碼字典，然后用NAT進(jìn)行破解。成功,Administrator口令破解情況,一次針對(duì)Windows 2000的

26、入侵過(guò)程(五),5. 鞏固權(quán)力現(xiàn)在我們得到了Administrator的帳戶(hù)，接下去我們需要鞏固權(quán)力添加一個(gè)迷惑性的帳戶(hù)，并加入administrators組，將來(lái)通過(guò)新帳戶(hù)進(jìn)入裝載后門(mén)裝載后門(mén)一般的個(gè)人主機(jī)為防范病毒，均會(huì)安裝反病毒軟件，如Norton Anti-Virus、金山毒霸等，并且大部分人也能及時(shí)更新病毒庫(kù)，而大部分的木馬程序在這類(lèi)軟件的病毒庫(kù)中均被視為T(mén)rojan木馬病毒。所以，這為我們?cè)黾恿穗y度。除非一些很新的

27、程序或自己編寫(xiě)的程序才能夠很好地隱藏起來(lái)我們使用NetCat作為后門(mén)程序進(jìn)行演示,安裝后門(mén)程序(一),利用剛剛獲取的Administrator口令，通過(guò)Net use映射對(duì)方驅(qū)動(dòng)器,安裝后門(mén)程序(二),然后將netcat主程序nc.exe復(fù)制到目標(biāo)主機(jī)的系統(tǒng)目錄下（便于隱藏），可將程序名稱(chēng)改為容易迷惑對(duì)方的名字，如rundl132.exe、ddedll32.exe等,,安裝后門(mén)程序(三),遠(yuǎn)程N(yùn)etCat服務(wù)程序啟動(dòng)后，我們可以在本地

28、進(jìn)行遠(yuǎn)程連接，運(yùn)行命令（在遠(yuǎn)程主機(jī)上），這時(shí)，我們已經(jīng)完全控制了這臺(tái)機(jī)器了,利用at命令遠(yuǎn)程啟動(dòng)NetCat，供我們遠(yuǎn)程連接使用。,一次針對(duì)Windows 2000的入侵過(guò)程(六),6. 清除痕跡我們留下了痕跡了嗎用event viewer看一看沒(méi)有成功看看它的日志文件無(wú)安全日志記錄,通過(guò)入侵過(guò)程來(lái)看Win2k的防范,盡量安裝防火墻軟件，并對(duì)安全規(guī)則庫(kù)定期進(jìn)行更新 及時(shí)更新操作系統(tǒng)廠商發(fā)布的Service Pack補(bǔ)丁程序

29、停止主機(jī)上不必要的服務(wù)，各種服務(wù)打開(kāi)的端口往往成為黑客攻擊的入口 使用安全的密碼，最起碼不要直接使用常見(jiàn)的單詞、數(shù)字串以及可能暴露的主機(jī)信息(比如主機(jī)名、用戶(hù)名等)如果沒(méi)有文件和打印機(jī)共享要求，最好禁止139和445端口上的空會(huì)話 經(jīng)常利用net session、netstat查看本機(jī)連接情況，并利用Task Manager查看本機(jī)運(yùn)行的進(jìn)程，及早發(fā)現(xiàn)異常情況 可以利用一些安全工具(如LockDown、BlackICE等)提供

30、的本機(jī)程序安全管理功能，監(jiān)控本機(jī)程序的異常狀態(tài)(主動(dòng)連接外部陌生的地址)，增強(qiáng)主機(jī)對(duì)木馬程序的監(jiān)控能力 ……,參考資料,書(shū)“黑客大曝光”(第二版)，清華出版社“Hackers Beware”，中文版《黑客——攻擊透析與防范》，電子工業(yè)出版社David Chappell, Understanding Microsoft Windows 2000 Distributed Services, 中文版(清華大學(xué)出版社，潘愛(ài)民譯), 20