《服务器攻击与防护课件》由会员分享,可在线阅读,更多相关《服务器攻击与防护课件(63页珍藏版)》请在金锄头文库上搜索。
1、网络安全防护,教师:尹伟,windows安全,一、用户在线情况下,密码的破解: 在Windows系统中,控制用户登录的系统进程是winlogon.exe。多个用户登录时,系统在每个用户登录时,都会为用户产生一个winlogon.exe进程,通过查找winlogon.exe进程访问的内存模块,可以获得保存在内存中的用户名和密码(用户登录时,其用户名和密码是以明文的方式保存在内存中) 操作步骤: 1)获取PID、域名和登录系统的用户名: 运行pulist.exe,可以查看系统当前正在运行的进程,在其中找到winlogon.exe所在的进程ID号,即PID号。查看其它的进程,即可获得域名和登录系统的
2、用户名。 2)使用findpass.exe命令获取密码信息,使用方法为: findpass.exe 域名 用户名 winlogon.exe进程的PID号 提示:获得windows 2003用户密码,应使用findpass 2003 软件(直接运行findpass 2003,便自动在内存中查找管理员的密码,并显示密码),windows安全,防范建议 这种方法需要在远程计算机上执行,执行完毕后可以很容易删除该软件,使得查找起来相当困难。所以,我们要尽量做到未雨绸缪。 设定安全策略,启用系统的审核机制。 经常查看“事件查看器”。 定期杀毒,并将杀毒软件设为自动监控,一旦入侵者将该软件复制到系统中,杀
3、 毒软件一般都能识别(如果入侵者对findpass.exe进行了免杀处理,杀毒软件也 无法查杀)。 设置健壮的密码并不定期进行更换。系统中设置的用户越少越好。,windows安全,二、用户不在线情况下,密码的破解: Lsass.exe进程主要用于本地安全和登录策略。通过解密Lsass.exe进程,即可获得管理员密码,使用的软件为“LSASecretsView” (直接运行该软件,在列表中即可显示密码),windows安全,防范建议 LSASecrets View的破解原理: 该软件是通过读取注册表 “HKEY_LOCAL_MACHINESECURITYPolicySecretsDefaultP
4、assword”中的数据,实现密码破解。该注册表项是由于系统设置了自动登录而产生的。在最新的windows补丁中已经隐藏地修复了这个漏洞,但官方并未说明是哪个补丁。,windows安全,三、通过SAM获得管理员密码: SAM(Security Account Manager):安全账号管理器,它是windows系统的用户数据库,记录了“用户信息、密码Hash、组”等信息。该文件的存放目录为“%SystemRoot%system32Config” 提示: 该文件内容经过了加密处理,所以用编辑器打开,文件内容都是乱码。 该文件在系统启动后,就处于锁定状态,会禁止对它的复制、删除等操作。 使用LC5
5、(L0phtCrack v5.04)或LC6可以破解SAM中保存的密码Hash。,windows安全,四、SYSKEY加密的破解: Syskey.exe工具位于“system32”文件夹下,可对SAM文件进行二次加密。 Syskey的使用: 开始-运行-syskey。 重启系统后,在出现系统登录界面前,就出现了syskey的密码输入界面。 系统使用了syskey后,密码破解的办法: 方法一:使用高版本的LC工具(LC6)。 方法二:使用“SAMInside”可以破解SYSKEY加密过的SAM文件。 具体操作: 1)把system文件复制到某目录下。(system文件是经过syskey加密过的S
6、YSTEM文件,位于“%systemsystem32config”下,系统启动时,该文件不允许拷贝) 2)在DOS下使用GetSyskey程序(该程序在SAMInside安装路径下的tools目录 中)生成一个StartKey.key文件,做法是: Getsyskey 路径system 3)打开SAMInside,选择“Import SAM Registry and SYSKEY File”,指定导入文件。 4)单击工具栏“Attack Options”按钮,选择破解方式。 5)单击工具栏的“set password recovery”按钮,开始破解。,windows安全,五、账户克隆: (一
7、)手工克隆帐号 1、注册表: “HKEY_LOCAL_MACHINESAMSAM” 和“HKEY_LOCAL_MACHINESECURITYSAM” 中有个Domains子项“Domains和Builtin”。 DomainAccountUsers下存放各账户信息,其子项V中保存账户的基本信息,包括用户名、密码、所属组等;其子项F中保存用户的登录信息,包括上次登录的时间、登录失败的次数等。 DomainsBuiltinAliasesNames下存放用户的分组信息 注册表中有两处保存了用户的SID相对标志符: HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers
8、 下的子键名;该项F的值。系统登录时,使用后者识别用户的SID,而系统查询用户状态时,使用前者。 提示:账户克隆就是通过修改注册表,使一个普通用户具有与管理员一样的桌面和权限。其操作是“复制管理员账户的注册表F项子键内容,覆盖其他账户的F项,其他账户就具有了管理员权限,但查询时,还是显示原来的状态”,windows安全,SAM关系到整个系统中账号的安全,在一些Windows版本中,只有拥有System权 限才可对注册表的SAM进行访问。所以此时就需要借助psu.exe使管理员拥有 System权限,进而访问注册表中的SAM。 psu.exe,通过该工具可以以System权限执行一些命令,其命令
9、格式如下: psu -p 运行的文件名 -i Su到的进程号 其中各个参数的含义如下。 -p 为要运行的文件名。务必写全可执行文件的路径。 -i 为要Su到的进程号。该选项可选,默认Su到的进程为System。 使管理员拥有system权限的步骤如下: 步骤1:使用【Ctrl+Alt+Del】组合键打开【任务管理器】窗口,在其中选择【查看】【选择列】命令,即可打开【选择列】对话框,在其中勾选【PID(进程标识符)】复选框,单击【确定】按钮返回到【任务管理器】窗口中,在其中找到System进程,假如看到的PID号是4。 步骤2:使用psu.exe提升管理员权限效果,在【命令提示符】窗口中输入“p
10、su -p regedit -i 4”命令(其中“4”是获得的System进程的PID值),即可以System权限打开【注册表编辑器】窗口,在其中可以看到SAM的内容。,windows安全,克隆隐藏的账户: 1)创建新的帐户:net user abc$ 123456 /add (给账户名后加$,使net user命令下无法看到 该账户) 2)导出注册表查看键值HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNamesabc$,看到其右边对应的值为“0 x3ef”,将这个值导出为“abc$.reg”。 再在其上级目录HKEY_LOCAL_MACHINESAM
11、SAMDomainsAccountUsers中找到abc$对应值的子键,即000003EF子键,将其导出为“3ef.reg”。 再查看键值HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNamesAdministrator,看到其右边对应的值为“0 x1f4”。 再在其上级目录HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers中找到Administrator对应值的子键,即000001F4子键,同样将其导出为“1f4.reg”。 3)修改注册表, 用记事本打开1f4.reg,找到其相应的F值,如:F=hex:02,00,
12、01,00,00,00,00,00,5c,a6,a3,d3,a0,23,ca,01,00,00,00,00,00,00,00,00,d4,9b,70,44,cd,8d,c9,01,ff,ff,ff,ff,ff,ff,ff,7f,38,d6,d3,3d,cd,8d,c9,01,f4,01,00,00,01,02,00,00,10,00,00,00,00,00,00,00,00,00,4c,03,01,00,00,00,00,00,00,00,00,00,00,00 再打开3ef.reg,找到其相应的F值,并用1f4的F值替换掉3ef的F值。 再打abc$.reg文件,复制其中的所有有效内容(即除
13、“Windows Registry Editor Version 5.00”之外的所有内容),将其内容添加到3ef.reg的最后面,然后将文件保存。 4)删除隐藏账户: net user abc$ /del 然后双击3ef.reg导入注册表即可克隆成功账户。以后就可以用“abc$”密码为“123456”的隐 藏账户登陆系统了,具有管理员的权限。,windows安全,(二)利用程序克隆账号 1、CA.exe工具 CA.exe是一个远程克隆账号工具,其命令格式为:ca.exeIP 其中的各个参数含义如下。 :被克隆的账号(拥有管理员权限)。 :被克隆账号的密码。 :克隆的账号(该账号在克隆前必须存
14、在)。 :设置克隆账号的密码。 2、CCA.exe工具 CCA.exe是一个远程查看克隆账号的工具,可以查出指定账号是否被克隆,如果账号被克隆,则会在回显中列出克隆账号的列表。其命令格式为: cca.exeIP 其中账号是被查看的账号,密码是该账号对应的密码。,windows安全,下面介绍如何利用这两款工具进行实现对账号的克隆,具体的操作步骤如下。 步骤1:首先要获取远程计算机的管理员权限。 步骤2:在命令提示符窗口中输入ca.exe 192.168.0.45 Administrator 11111 guest 123456命令,将IP地址为192.168.0.45的Guest账号克隆成管理员
15、权限的账号。当命令执行之后,如果得到下面的回显,则说明账号克隆成功,并且还可以了解到账号克隆的流程,否则说明克隆不成功。 Connect192.168.0.45.OK GetSIDofguest.OK Prepairing.OK CleanUp.OK 步骤3:这里需要通过psexec.exe工具来禁用远程计算机上的Guest账号。在命令提示符窗口中输入命令psexec 192.168.0.45 -u administrator -p 11111 cmd.exe,获得远程计算机的命令行后,在命令行中用net user命令来禁用Guest账号。,windows安全,【提示】 Psexec为远程执行
16、命令软件,Psexec是一个类似于Telnet和PC Anywhere的工具,允许远程在Windows下执行任意程序,可不设置客户端直接执行。 使用方法为: psexeccomputer-uuser-ppasswd-s-i-c-f-dcmdarguments 其中各个参数的含义如下。 -u:登录远程主机的用户名。 -p:登录远程主机的密码。 -i:与远程主机交互执行。 -c:复制本地文件到远程主机系统目录并执行。 -f:复制本地文件到远程主机系统目录并执行。如果远程主机已存在该文件,则覆盖。 -d:不等待程序结束。,windows安全,步骤4:此时可通过CCA.exe来验证是否已把Administrator的权限克隆到了Guest账号上。在命令提示符窗口中输入cca 192.168.0.45 administrator 11111命令,来查看远程主机上的Administrator账号是否被克隆。如果命令执行完毕后,出现Guest AS SAME AS Administrator的回显信息,则说明该Administrator账号已经克隆成功。,windows安全,3、
