1、Windows 系统安全-系统漏洞分析与防范,WindowsNT系统简介,Windows NT/2000/XP都是基于WinNT内核,安全性比Windows 9x明显提高。主要体现在:提供了对安全性有影响的管理手段用户帐号和用户密码、域名管理、用户组权限、共享资源的权限等。用户帐号和用户密码 Windows NT的安全机制通过请求用户帐号和用户密码来帮助保护计算机及其资源。给值得信任的使用者,按其使用的要求和网络所能给予的服务分配合适的用户帐号,并且设定相应的账号密码。,WindowsNT系统简介,域名管理 (1) 以Windows NT组建的网络是一个局域网范围的网。 (2) 域:指网络服务
2、器和其它计算机的逻辑分组,凡是在 共享域范围内的用户都使用公共的安全机制和用户帐 号信息。 (3)每个用户有一个账号,每次登录的是一个域,而不是 某一个服务器。即使在物理上相隔较远,但在逻辑上 可以在一个域上,这样便于管理。 (4)域所用的安全机制信息或用户帐号信息都存放在目 录数据库中(安全帐号管理器SAM数据库)。,WindowsNT系统简介,域名管理 (5) 目录数据库存放在服务器中,并且复制到备份服务器中。 (6) 通过有规律的适当处理,可以保证数据库的安全性、有 效性。 (7)在用户每次登录时,通过目录数据库检查用户的账号和 密码。所以在对NT进行维护时应该小心目录数据库的完 整性,
3、一般只有管理员才有权限管理目录数据库。,WindowsNT系统简介,用户组权限 (1)管理员根据用户访问网络的类型和等级给用户分组,组有全局组和本地组。 (2)全局组由一个域的几个用户帐号组成,所谓全局是指可以授予该组使用多个(全局)域资源的权利和权限,全局组只能在域中创建。 域全局组: 成员范围:自己所在的域 使用范围:所有的域 (3)本地组由用户帐号和一个或多个域中的全局组构成 域本地组: 成员范围:所有的域 使用范围:自己所在的域,WindowsNT系统简介,共享资源的权限 (1)Windows NT允许用户指定共享的资源。资源共享后,可以通过网络限制某些用户对他的访问权限,这称为共享权
4、限的限制。针对不同的用户,可以利用资源共享及资源权限来创建不同的资源安全级别。 (2)Windows NT在其文件系统NTFS中,可以使用权限对单个文件进行保护,并且可以把该权限应用于本地访问和网络访问中。 通过以上的四个管理手段,实行严格的用户名密码认证,并根据操作需求赋予相应的权限,从而获得对系统访问的严格控制。,Windows NT常见安全漏洞,通过NETBIOS实现信息收集与渗透 NETBIOS(网络基本输入输出系统):描述怎样将网络基本输入输出系统操作变换为等价的因特网操作的规则. 通过端口扫描程序扫描目标机或网络通过NETBIOS进行信息收集 如端口扫描程序报告端口139在目标机上
5、是开放的,那么接下来就是一个很自然的过程。 发出Nbtstat命令。Nbtstat命令可以用来查询目标机的NETBIOS信息。如: D: nbtsta A 10.111.179.159 (-a: 列出为其主机名提供的远程计算机名字表). 入侵者可以通过Nbtstat的输出信息收集有关你的机器的信息,有了这些信息,入侵者就可能在一定程度上断定有哪些服务正在目标机上运行,有时也能断定已经安装了那些软件包。一般来讲,每个服务或主要的软件包都具有一定的脆弱性,因此,这种类型的信息对入侵者是有用的。,Windows NT常见安全漏洞,猜测密码如果入侵者发现你的机器上的共享目录,将会试图进入你的硬盘。有时
6、共享可能设有口令,不过入侵者会继续进行Brute Force(强行)攻击。 Brute Force 最常用的工具是NAT工具,这个工具让用户能够通过可能的用户/口令列表使网络连接命令自动操作。NAT 将通过所提供的列表中的每个用户名和每一个口令试着连接到远程机上。借助工具Ntscan进行Brute Force攻击,破解用户名/口令对。,Windows NT常见安全漏洞,升级权限 攻击者获得系统一定的访问权限后通常要把自己的权限提升到管理员组,这样就可以控制了该计算机系统。 获得管理员密码后,下次就可以用该密码进入系统。先建立一个用户,然后把这个用户添加到管理员组,或者直接把一个不起眼的用户添加
7、到管理员组。安装后门。方法:下载系统的%windir%repairsam.*文件,然后用Lopht等软件破解.,Windows NT常见安全漏洞,破解SAM文件 SAM中包含有本地系统及所控制域的所有用户信息和用户名及密码。SAM文件是经过加密后的一个文档. 其中破解SAM最为常用的工具就是L0pht,如果有一台PII450,黑客们便可以利用L0pht在24小时内破解出所有可能的数字与字母组合。,Windows NT常见安全漏洞,SAM文件的获取 Windows NT把SAM存放在%systemroot%system32config目录下,而且在服务器的NT系统运行过程中SAM是被锁死的,甚至
8、Administrator用户也无权更改。 (1)启动引导另一操作系统 不直接启动NT系统,而用另一个引导服务器,SAM文件的保护显然就失去了作用。黑客通常会使用System Internals公司的NTFSDOS的系统驱动来获得对NTFS硬盘格式访问的权限,然后将SAM文件提取。,Windows NT常见安全漏洞,SAM文件的获取 (2)获取备份的SAM NT中的修复磁盘工具会备份系统中的关键信息,其中也包括SAM文件。黑客一般会选择L0pht进行导入完成获取备份的工作。 (3) 从SAM中导出散列加密值如获得Administrator访问权限,黑客很容易获取到NT在注册表中存储的SAM密码
9、散列用L0pht或者Pwdump 这两个工具都可以容易的获取到这些加密值,防范办法,防范最好的办法安装漏洞补丁 微软已经对发现的大多数安全漏洞提供了补丁,这些补丁可以在 Windows NT资源工具箱软件提供C2配置管理器c2config.exe, 运行他可以核查你的系统配置,并指出为符合C2级安全标准,你必须修改什么配置。系统安全设置使用NTFS个格式分区。最好建立两个逻辑分区,一个用作系统分区,一个用作应用程序分区。尽量修改“我的文档”及“Outlook Express”等应用程序的默认文件夹位置,使其位置不在系统分区。,防范办法,(2) 运行防病毒软件;关闭默认共享;锁住注册表;禁止用户
10、从软盘和光盘启动系统;利用Windows NT安全配置工具来配置安全策略。服务安全配置关闭不必要的端口。关闭端口意味着减少功能。禁用NETBIOS。设置好安全纪录的访问权限;安全纪录在默认情况下是没有保护的。把他设置成只有Administrators和系统帐户才有权访问。禁止建立空连接,默认情况下,任何用户都可通过空连接连上服务器,进而枚举出帐号,猜测密码。我们可以通过修改注册表来禁止建立空连接.关闭不需要的服务。,一个攻击Windows NT系统过程(一),1. 收集信息对于Windows NT的主机,一般通过默认的共享“Ipc$”进行。Ipc$(进程间通信)共享是NT主机上一个标准的隐藏共
11、享,主要用于服务器到服务器的通信.如果主机启动了Server服务,就可以建立了不需要账号和密码的空连接,通过“Ipc”, 就可以利用工具或者自己编写的程序得到主机的账号列表和共享(默认和设置)列表。,2. 得到密码得到账号列表后,可以通过Brute Force的方法得到密码。,一个攻击Windows NT系统过程(二),3. 破解出Administrator的密码破解一个user账号密码后,进步破解Administrator的密码获取winntrepairsam ,然后用工具Pwdump破解。,4. 得到管理员特权后留后门用微软的“Netsvc.exe”工具,它可以启动远程计算机上的服务net
12、svc1.1.1.1 tlntsvr/start,一般启动“Schedule”服务。把“Netcat.exe” 放在远端计算机上,然后用“At”命令启动他;,一个攻击Windows NT系统过程(二),Telnet 1.1.1.1 99把Guest用户激活:net user guest /active:yes把Guest用户设置一个密码:net user guest abcd把Guest加到Administrators 组中:net locatgroup administrators guest/add使用Telnet管理工具“WinNTsystem32tlnadmn.exe”在注册表选项把N
13、TLM设置为“0”,防止Telnet服务要求NTLM认证。用管理员身份建立远程计算机的Ipc连接后,可以用事件查看器、注册表编辑器等各种管理工具连接到远程计算机进行管理。获取远程计算机上“WinNTrepair”下的sam文件,用工具破解。,针对此类攻击的防御方法,停止“Server”服务。该服务提供RPC(远程过程控制)支持、文件、打印以及命名管道共享。用“Net Share”命令确认默认的共享已经删除,查看手工设置的共享,删除不需要的共享。停止TCP/IP Services 服务,该服务支持以下的TCP/IP服务。Character Generator, Daytime, Discard,
14、 Rcho, Quote of the Day 服务。此服务对应多个端口,如“,”等,可能导致DDOS攻击.用“Net Start”命令查看启动的服务。确认停止所有不必要的服务,特别是停止“Telnet, Ftp”服务等。用net user和net localgroup命令查看异常的用户和本地组,删除或仅用不必要的账号.如Guest等。用扫描工具检查开放的可疑端口,查找木马。禁止一般用户从网络访问计算机。,一次针对Windows 2000的入侵过程(一),1. 探测选择攻击对象,了解部分简单的对象信息。这里,针对具体的攻击目标,随便选择了一组IP地址,进行测试,选择处于活动状态的主机,进行攻击
15、尝试;Pinger程序查找IP地址针对探测的安全建议对于网络:安装防火墙,禁止这种探测行为对于主机:安装个人防火墙软件,禁止外部主机的ping包,使对方无法获知主机当前正确的活动状态,一次针对Windows 2000的入侵过程(二),2. 扫描使用的扫描软件这里选择的扫描软件是SSS(Shadow Security Scanner),目前的最高版本是5.3.1,SSS是俄罗斯的一套非常专业的安全漏洞扫描软件,能够扫描目标服务器上的各种漏洞,包括很多漏洞扫描、端口扫描、操作系统检测、账号扫描等等,而且漏洞数据可以随时更新。扫描远程主机 开放端口扫描 操作系统识别 SSS本身就提供了强大的操作系统
16、识别能力,也可以使用其他工具进行主机操作系统检测。 主机漏洞分析,扫描结果:端口扫描,可以看出几个比较知名的端口均处于打开状态,如139、80等 尝试使用Unicode漏洞攻击,无效。可能主机已经使用了SP进行补丁或未开放远程访问权限,扫描结果:操作系统识别,扫描结果:漏洞扫描,SSS可对远程主机进行漏洞检测分析,这更方便了我们了解远程主机的状态,选择合适的攻击入口点,进行远程入侵 主机的帐号密码使用的是“永不过期”方式,我们可以接下去进行帐号密码的强行破解,一次针对Windows 2000的入侵过程(四),4. 渗透Administrator口令强行破解 目标主机是一台个人主机,绝大部分情况
17、下,均使用Administrator帐号进行登陆,且个人防范意识较差的话,选择的密码一般都较简单,如“主机名”、“11111”、“12345”之类的简单密码(方便自己的快速登陆)。所以考虑利用NetBIOS会话服务(TCP 139)进行远程密码猜测。 这里我们使用NAT(NetBIOS Auditing Tool)进行强行破解:构造一个可能的用户帐户表,以及简单的密码字典,然后用NAT进行破解。成功,Administrator口令破解情况,一次针对Windows 2000的入侵过程(五),5. 巩固权力现在我们得到了Administrator的帐户,接下去我们需要巩固权力添加一个迷惑性的帐户,
18、并加入administrators组,将来通过新帐户进入装载后门装载后门一般的个人主机为防范病毒,均会安装反病毒软件,如Norton Anti-Virus、金山毒霸等,并且大部分人也能及时更新病毒库,而大部分的木马程序在这类软件的病毒库中均被视为Trojan木马病毒。所以,这为我们增加了难度。除非一些很新的程序或自己编写的程序才能够很好地隐藏起来我们使用NetCat作为后门程序进行演示,安装后门程序(一),利用刚刚获取的Administrator口令,通过Net use映射对方驱动器,安装后门程序(二),然后将netcat主程序nc.exe复制到目标主机的系统目录下(便于隐藏),可将程序名称改
19、为容易迷惑对方的名字,如rundl132.exe、ddedll32.exe等,安装后门程序(三),远程NetCat服务程序启动后,我们可以在本地进行远程连接,运行命令(在远程主机上),这时,我们已经完全控制了这台机器了,利用at命令远程启动NetCat,供我们远程连接使用。,一次针对Windows 2000的入侵过程(六),6. 清除痕迹我们留下了痕迹了吗用event viewer看一看没有成功看看它的日志文件无安全日志记录,通过入侵过程来看Win2k的防范,尽量安装防火墙软件,并对安全规则库定期进行更新 及时更新操作系统厂商发布的Service Pack补丁程序 停止主机上不必要的服务,各种
20、服务打开的端口往往成为黑客攻击的入口 使用安全的密码,最起码不要直接使用常见的单词、数字串以及可能暴露的主机信息(比如主机名、用户名等)如果没有文件和打印机共享要求,最好禁止139和445端口上的空会话 经常利用net session、netstat查看本机连接情况,并利用Task Manager查看本机运行的进程,及早发现异常情况 可以利用一些安全工具(如LockDown、BlackICE等)提供的本机程序安全管理功能,监控本机程序的异常状态(主动连接外部陌生的地址),增强主机对木马程序的监控能力 ,参考资料,书“黑客大曝光”(第二版),清华出版社“Hackers Beware”,中文版黑客攻击透析与防范,电子工业出版社David Chappell, Understanding Microsoft Windows 2000 Distributed Services, 中文版(清华大学出版社,潘爱民译), 2001Web站点http:/ 或者MSDN-Library,