内网渗透——权限维持

一、权限维持:

  • 当攻击者获取服务器权限后,通常会采用一些后门技术来维持自己当前得到的权限,服务器一旦被植入后门,那么攻击者下次进入就方便多了。
  • 由于攻击可能被发现,会清除一些shell,导致目标丢失,所以需要留下后门来维持权限,达到持续控制的目的。

二、获取windows系统登陆账号:

  • 系统登陆账号存储位置:C:\Windows\System32\config\SAM。
  • 在Windows系统中,对用户账户的安全管理采用了SAM(Security Account Manager,安全账号管理)机制,用户账户以及密码经过Hash加密之后,都保存在SAM数据库中。
  • SAM数据库保存在C:\WINDOWS\system32\config\SAM文件中,当用户登录系统时,首先就要与SAM文件中存放的账户信息进行对比,验证通过方可登录。系统对SAM文件提供了保护机制,无法将其复制或是删除,也无法直接读取其中的内容。
  • SAM文件两种加密方式:
  • LM加密:密码最多14位,如果口令不足14位,不足的部分用0补齐,把所有的字符转变为大写,然后分成两组,每组7位,分别加密,然后拼接在一起,就是最终的LM散列,本质是DES加密。
  • NTLM加密:先将用户口令转变为unicode编码,再进行标准MD4单向哈希加密
  • LM加密安全性远低于NTLM加密,因为NTLM加密它允许使用更长的密码,允许有大小写的不同,而且也无须把密码分割成更小、更易于被破解的块。所以在一个纯NTLM环境中,应该关闭Lan Manager加密方式。
  • Administrator:500:AAD3B435B51404EEAAD3B435B51404EE:AFFFEBA176210FAD4628F0524BFE1942:::
  • 注:af到42是密码
  • 非免杀工具版:
  • wce.exe
  • QuarksPwDump.exe
  • Pwdump7.exe
  • gethash.exe
  • mimikatz
  • Windows读取管理员密码:
使用注册表导出hash: reg save hklm\sam C:\hash\sam.hive
reg save hklm\system C:\hash\system.hive
导出sam文件: shadow copy (一般用在域控上几万 几十万用户的时候)
其他方式: procdump(或者lsadump)+mimikatz
Powershell+mimikatz
powershell+getpasshash
powershell+其他工具
  • 破解方式:
在线破解: http://cmd5.com
https://somd5.com
本地破解: 暴力破解
LM加密
cain
NTLM加密: ophcrack+彩虹表(彩虹表下载:http://ophcrack.sourceforge.net/tables.php)
  • 抓取账号明文原理:
  • 从lsass.exe进程中直接获取密码信息进行破解,而且该破解应该并非穷举方式,而是直接根据算法进行反向计算。
  • lsass.exe是系统进程,用于本地安全认证服务。
  • 注意事项
  • (1)LM只能存储小于等于14个字符的密码hash,如果密码大于14位,windows就自动使用NTLM对其进行加密了,只有对应的NTLM hash可用了,在LM-Password中会以全0显示。
  • (2)一般情况下使用工具导出的hash都有对应的LM和NTLM值,也就是说这个密码位数<=14,这时LM也会有值,除了LM值全为0之外,在老版本中看到LM:aad3b435b51404eeaad3b435b51404ee开头显示的表示密码为空或者位数超过14位
  • (3)在win2K3之前包括win2K3会默认启用LM加密,win2K3之后的系统禁用了LM加密,使用NTLM加密
  • (4)LM方式的加密会存在一个对应的NTLM hash值

获取linux/unix系统登陆账号:

  • linux/unix账号信息存储位置:
  • /etc/passwd
  • /etc/shadow
  • root:$1$Bg1H/4mz$X89TqH7tpi9dX1B9j5YsF.:14838:0:99999:7:::
  • 当id为1时,使用md5加密,id为5,采用SHA256进行加密,id为6采用SHA512进行加。
  • 破解:
  • John the ripper

安装后门程序:

  • 常见的后门技术列表:
  • 1、
  • 攻击者在获取服务器权限后,通常会用一些后门技术来维持服务器权限,服务器一旦被植入后门,攻击者如入无人之境。
  • 2、
  • 隐藏、克隆账户。
  • 3、shift后门:
  • 原理:
  •          利用cmd.exe重命名,并覆盖原来的粘连键。当我们再次触发粘连键时,相当于运行了cmd.exe
  •  流程:
  •          使用以下命令,将cmd.exe 重命名并替换掉shift(粘滞键)(sethc.exe)功能,这样在通过远程桌面登录服务器之后,在输入帐号密码处,按5次shift即可弹出cmd的命令行,权限为system。
  • 4、
  • 启动项、计划任务。
  • 5、DLL劫持技术:
  • 原理:
  •         你安装了酷狗播放器,而酷狗播放器在播放音乐的时候必须调用Windows系统下一个标准动态链接库mp3play.dll,那么黑客就自己开发一个恶意的mp3play.dll,然后再找一个MP3歌曲,将这个恶意的DLL和歌曲放在同一个文件夹下,然后打包压缩发给受害者。
  • 注:
  •         如果受害者用右键将这个压缩包中的MP3文件和DLL文件都解压缩到了一个目录中(90%的人会这样干),那么当受害者点击这个MP3文件的时候,酷狗就会先去寻找mp3play.dll进行加载,而微软设计的加载dll顺序是先从默认文件本身的目录进行寻找,于是那个虚假的、恶意的mp3play.dll就先被加载运行了。
  • 6、
  • Powershell后门。
  • 7、
  • 远控软件。

你可能感兴趣的:(网络安全)