服务器攻击与防护

L o g o网络安全防护网络安全防护 教师：尹伟教师：尹伟拼搏拼搏windows安全安全一、用户在线情况下，密码的破解：一、用户在线情况下，密码的破解：在在Windows系统中，控制用户登录的系统进程是系统中，控制用户登录的系统进程是winlogon.exe。多个用户登录时，。多个用户登录时，系统在每个用户登录时，都会为用户产生一个系统在每个用户登录时，都会为用户产生一个winlogon.exe进程，通过查找进程，通过查找winlogon.exe进程访问的内存模块，可以获得保存在内存中的用户名和密码（用户进程访问的内存模块，可以获得保存在内存中的用户名和密码（用户登录时，其用户名和密码是以明文的方式保存在内存中）登录时，其用户名和密码是以明文的方式保存在内存中）操作步骤：操作步骤：1）获取）获取PID、域名和登录系统的用户名：、域名和登录系统的用户名：运行运行pulist.exe，可以查看系统当前正在运行的进程，在其中找到，可以查看系统当前正在运行的进程，在其中找到winlogon.exe所所在的进程在的进程ID号号,即即PID号。查看其它的进程，即可获得域名和登录系统的用户名。号。查看其它的进程，即可获得域名和登录系统的用户名。2）使用）使用findpass.exe命令获取密码信息，使用方法为：命令获取密码信息，使用方法为：findpass.exe域名域名用户名用户名winlogon.exe进程的进程的PID号号提示：获得提示：获得windows2003用户密码，应使用用户密码，应使用findpass2003软件（直接运行软件（直接运行findpass2003，便自动在内存中查找管理员的密码，并显示密码），便自动在内存中查找管理员的密码，并显示密码）拼搏拼搏windows安全安全防范建议防范建议这种方法需要在远程计算机上执行，执行完毕后可以很容易删除该软件，使得查找这种方法需要在远程计算机上执行，执行完毕后可以很容易删除该软件，使得查找起来相当困难。所以，我们要尽量做到未雨绸缪。起来相当困难。所以，我们要尽量做到未雨绸缪。设定安全策略，启用系统的审核机制。设定安全策略，启用系统的审核机制。经常查看经常查看“事件查看器事件查看器”。定期杀毒，并将杀毒软件设为自动监控，一旦入侵者将该软件复制到系统中，杀定期杀毒，并将杀毒软件设为自动监控，一旦入侵者将该软件复制到系统中，杀毒软件一般都能识别（如果入侵者对毒软件一般都能识别（如果入侵者对findpass.exe进行了免杀处理，杀毒软件也进行了免杀处理，杀毒软件也无法查杀）。无法查杀）。设置健壮的密码并不定期进行更换。系统中设置的用户越少越好。设置健壮的密码并不定期进行更换。系统中设置的用户越少越好。拼搏拼搏windows安全安全二、用户不在线情况下，密码的破解：二、用户不在线情况下，密码的破解：Lsass.exe进程主要用于本地安全和登录策略。通过解密进程主要用于本地安全和登录策略。通过解密Lsass.exe进程，即可获进程，即可获得管理员密码，使用的软件为得管理员密码，使用的软件为“LSASecretsView”(直接运行该软件，在列表中即直接运行该软件，在列表中即可显示密码）可显示密码）拼搏拼搏windows安全安全防范建议防范建议LSASecretsView的破解原理：的破解原理：该软件是通过读取注册表该软件是通过读取注册表“HKEY_LOCAL_MACHINESECURITYPolicySecretsDefaultPassword”中的中的数据，实现密码破解。该注册表项是由于系统设置了自动登录而产生的。在最新的数据，实现密码破解。该注册表项是由于系统设置了自动登录而产生的。在最新的windows补丁中已经隐藏地修复了这个漏洞，但官方并未说明是哪个补丁。补丁中已经隐藏地修复了这个漏洞，但官方并未说明是哪个补丁。拼搏拼搏windows安全安全三、通过三、通过SAM获得管理员密码：获得管理员密码：SAM（SecurityAccountManager）：安全账号管理器，它是）：安全账号管理器，它是windows系统的用系统的用户数据库，记录了户数据库，记录了“用户信息、密码用户信息、密码Hash、组、组”等信息。该文件的存放目录为等信息。该文件的存放目录为“%SystemRoot%system32Config”提示：提示：该文件内容经过了加密处理，所以用编辑器打开，文件内容都是乱码。该文件内容经过了加密处理，所以用编辑器打开，文件内容都是乱码。该文件在系统启动后，就处于锁定状态，会禁止对它的复制、删除等操作。该文件在系统启动后，就处于锁定状态，会禁止对它的复制、删除等操作。使用使用LC5(L0phtCrackv5.04)或或LC6可以破解可以破解SAM中保存的密码中保存的密码Hash。拼搏拼搏windows安全安全四、四、SYSKEY加密的破解：加密的破解：Syskey.exe工具位于工具位于“system32”文件夹下，可对文件夹下，可对SAM文件进行二次加密。文件进行二次加密。Syskey的使用：的使用：开始开始-运行运行-syskey。重启系统后，在出现系统登录界面前，就出现了重启系统后，在出现系统登录界面前，就出现了syskey的密码输入界面。的密码输入界面。系统使用了系统使用了syskey后，密码破解的办法：后，密码破解的办法：方法一：使用高版本的方法一：使用高版本的LC工具（工具（LC6）。）。方法二：使用方法二：使用“SAMInside”可以破解可以破解SYSKEY加密过的加密过的SAM文件。文件。具体操作：具体操作：1）把）把system文件复制到某目录下。（文件复制到某目录下。（system文件是经过文件是经过syskey加密过的加密过的SYSTEM文件，位于文件，位于“%systemsystem32config”下，系统启动时，该文件不允下，系统启动时，该文件不允许拷贝）许拷贝）2）在）在DOS下使用下使用GetSyskey程序（该程序在程序（该程序在SAMInside安装路径下的安装路径下的tools目录目录中）生成一个中）生成一个StartKey.key文件，做法是：文件，做法是：Getsyskey路径路径system3）打开）打开SAMInside，选择，选择“ImportSAMRegistryandSYSKEYFile”，指定导入，指定导入文件。文件。4）单击工具栏）单击工具栏“AttackOptions”按钮，选择破解方式。按钮，选择破解方式。5）单击工具栏的）单击工具栏的“setpasswordrecovery”按钮，开始破解。按钮，开始破解。拼搏拼搏windows安全安全五、账户克隆：五、账户克隆：(一一)手工克隆帐号手工克隆帐号1、注册表：、注册表：“HKEY_LOCAL_MACHINESAMSAM”和和“HKEY_LOCAL_MACHINESECURITYSAM”中有个中有个Domains子项子项“Domains和和Builtin”。DomainAccountUsers下存放各账户信息，其子项下存放各账户信息，其子项V中保存账户的基本信息，包中保存账户的基本信息，包括用户名、密码、所属组等；其子项括用户名、密码、所属组等；其子项F中保存用户的登录信息，包括上次登录的中保存用户的登录信息，包括上次登录的时间、登录失败的次数等。时间、登录失败的次数等。DomainsBuiltinAliasesNames下存放用户的分组信息下存放用户的分组信息注册表中有两处保存了用户的注册表中有两处保存了用户的SID相对标志符：相对标志符：HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers下的子键名；下的子键名；该项该项F的值。系统登录时，使用后者识别用户的的值。系统登录时，使用后者识别用户的SID，而系统查询用户状态时，而系统查询用户状态时，使用前者。使用前者。提示：提示：账户克隆账户克隆就是通过修改注册表，使一个普通用户具有与管理员一样的桌面和就是通过修改注册表，使一个普通用户具有与管理员一样的桌面和权限。其操作是权限。其操作是“复制管理员账户的注册表复制管理员账户的注册表F项子键内容，覆盖其他账户的项子键内容，覆盖其他账户的F项，项，其他账户就具有了管理员权限，但查询时，还是显示原来的状态其他账户就具有了管理员权限，但查询时，还是显示原来的状态”拼搏拼搏windows安全安全SAM关系到整个系统中账号的安全，在一些关系到整个系统中账号的安全，在一些Windows版本中，只有拥有版本中，只有拥有System权权限才可对注册表的限才可对注册表的SAM进行访问。所以此时就需要借助进行访问。所以此时就需要借助psu.exe使管理员拥有使管理员拥有System权限，进而访问注册表中的权限，进而访问注册表中的SAM。psu.exe，通过该工具可以以，通过该工具可以以System权限执行一些命令，其命令格式如下：权限执行一些命令，其命令格式如下：psu-p运行的文件名运行的文件名-iSu到的进程号到的进程号其中各个参数的含义如下。其中各个参数的含义如下。-p为要运行的文件名。务必写全可执行文件的路径。为要运行的文件名。务必写全可执行文件的路径。-i为要为要Su到的进程号。该选项可选，默认到的进程号。该选项可选，默认Su到的进程为到的进程为System。使管理员拥有使管理员拥有system权限的步骤如下：权限的步骤如下：步骤步骤1：使用：使用【Ctrl+Alt+Del】组合键打开组合键打开【任务管理器任务管理器】窗口，在其中选择窗口，在其中选择【查看查看】【选择列选择列】命令，即可打开命令，即可打开【选择列选择列】对话框，在其中勾选对话框，在其中勾选【PID（进程标（进程标识符）识符）】复选框，单击复选框，单击【确定确定】按钮返回到按钮返回到【任务管理器任务管理器】窗口中，在其中找到窗口中，在其中找到System进程，假如看到的进程，假如看到的PID号是号是4。步骤步骤2：使用：使用psu.exe提升管理员权限效果，在提升管理员权限效果，在【命令提示符命令提示符】窗口中输入窗口中输入“psu-pregedit-i4”命令（其中命令（其中“4”是获得的是获得的System进程的进程的PID值），即可以值），即可以System权权限打开限打开【注册表编辑器注册表编辑器】窗口，在其中可以看到窗口，在其中可以看到SAM的内容。的内容。拼搏拼搏windows安全安全克隆隐藏的账户：克隆隐藏的账户：1）创建新的帐户：）创建新的帐户：netuserabc$123456/add(给账户名后加给账户名后加$,使使netuser命令下无法看到命令下无法看到该账户）该账户）2）导出注册表查看键值）导出注册表查看键值HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNamesabc$，看到其右边，看到其右边对应的值为对应的值为“0 x3ef”，将这个值导出为，将这个值导出为“abc$.reg”。再在其上级目录再在其上级目录HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers中找到中找到abc$对应值的子键，对应值的子键，即即000003EF子键，将其导出为子键，将其导出为“3ef.reg”。再查看键值再查看键值HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsersNamesAdministrator，看到其右边对应的值为看到其右边对应的值为“0 x1f4”。再在其上级目录再在其上级目录HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers中找到中找到Administrator对应对应值的子键，即值的子键，即000001F4子键，同样将其导出为子键，同样将其导出为“1f4.reg”。3）修改注册表）修改注册表,用记事本打开用记事本打开1f4.reg，找到其相应的，找到其相应的F值，如：值，如：F=hex:02,00,01,00,00,00,00,00,5c,a6,a3,d3,a0,23,ca,01,00,00,00,00,00,00,00,00,d4,9b,70,44,cd,8d,c9,01,ff,ff,ff,ff,ff,ff,ff,7f,38,d6,d3,3d,cd,8d,c9,01,f4,01,00,00,01,02,00,00,10,00,00,00,00,00,00,00,00,00,4c,03,01,00,00,00,00,00,00,00,00,00,00,00再打开再打开3ef.reg，找到其相应的，找到其相应的F值，并用值，并用1f4的的F值替换掉值替换掉3ef的的F值。值。再打再打abc$.reg文件，复文件，复制其中的所有有效内容（即除制其中的所有有效内容（即除“WindowsRegistryEditorVersion5.00”之外的所有内容），之外的所有内容），将其内容添加到将其内容添加到3ef.reg的最后面，然后将文件保存。的最后面，然后将文件保存。4）删除隐藏账户：）删除隐藏账户：netuserabc$/del然后双击然后双击3ef.reg导入注册表即可克隆成功账户。以后就可以用导入注册表即可克隆成功账户。以后就可以用“abc$”密码为密码为“123456”的的隐隐藏账户登陆系统了，具有管理员的权限。藏账户登陆系统了，具有管理员的权限。拼搏拼搏windows安全安全（二）利用程序克隆账号（二）利用程序克隆账号1、CA.exe工具工具CA.exe是一个远程克隆账号工具，其命令格式为：是一个远程克隆账号工具，其命令格式为：ca.exeIP其中的各个参数含义如下。其中的各个参数含义如下。：被克隆的账号（拥有管理员权限）。：被克隆的账号（拥有管理员权限）。：被克隆账号的密码。：被克隆账号的密码。：克隆的账号（该账号在克隆前必须存在）。：克隆的账号（该账号在克隆前必须存在）。：设置克隆账号的密码。：设置克隆账号的密码。2、CCA.exe工具工具CCA.exe是一个远程查看克隆账号的工具，可以查出指定账号是否被克隆，如果账是一个远程查看克隆账号的工具，可以查出指定账号是否被克隆，如果账号被克隆，则会在回显中列出克隆账号的列表。其命令格式为：号被克隆，则会在回显中列出克隆账号的列表。其命令格式为：cca.exeIP其中账号是被查看的账号，密码是该账号对应的密码。其中账号是被查看的账号，密码是该账号对应的密码。拼搏拼搏windows安全安全下面介绍如何利用这两款工具进行实现对账号的克隆，具体的操作步骤如下。下面介绍如何利用这两款工具进行实现对账号的克隆，具体的操作步骤如下。步骤步骤1：首先要获取远程计算机的管理员权限。：首先要获取远程计算机的管理员权限。步骤步骤2：在命令提示符窗口中输入：在命令提示符窗口中输入ca.exe192.168.0.45Administrator11111guest123456命令，将命令，将IP地址为地址为192.168.0.45的的Guest账号克隆成管理员权账号克隆成管理员权限的账号。当命令执行之后，如果得到下面的回显，则说明账号克隆成功，并且限的账号。当命令执行之后，如果得到下面的回显，则说明账号克隆成功，并且还可以了解到账号克隆的流程，否则说明克隆不成功。还可以了解到账号克隆的流程，否则说明克隆不成功。Connect192.168.0.45.OKGetSIDofguest.OKPrepairing.OKCleanUp.OK步骤步骤3：这里需要通过：这里需要通过psexec.exe工具来禁用远程计算机上的工具来禁用远程计算机上的Guest账号。在命令账号。在命令提示符窗口中输入命令提示符窗口中输入命令psexec192.168.0.45-uadministrator-p11111cmd.exe，获得远程计算机的命令行后，在命令行中用，获得远程计算机的命令行后，在命令行中用netuser命令来禁用命令来禁用Guest账号。账号。拼搏拼搏windows安全安全【提示提示】Psexec为远程执行命令软件，为远程执行命令软件，Psexec是一个类似于是一个类似于Telnet和和PCAnywhere的工具，的工具，允许远程在允许远程在Windows下执行任意程序，可不设置客户端直接执行。下执行任意程序，可不设置客户端直接执行。使用方法为：使用方法为：psexeccomputer-uuser-ppasswd-s-i-c-f-dcmdarguments其中各个参数的含义如下。其中各个参数的含义如下。-u：登录远程主机的用户名。：登录远程主机的用户名。-p：登录远程主机的密码。：登录远程主机的密码。-i：与远程主机交互执行。：与远程主机交互执行。-c：复制本地文件到远程主机系统目录并执行。：复制本地文件到远程主机系统目录并执行。-f：复制本地文件到远程主机系统目录并执行。如果远程主机已存在该文件，则覆：复制本地文件到远程主机系统目录并执行。如果远程主机已存在该文件，则覆盖。盖。-d：不等待程序结束。：不等待程序结束。拼搏拼搏windows安全安全步骤步骤4：此时可通过：此时可通过CCA.exe来验证是否已把来验证是否已把Administrator的权限克隆到了的权限克隆到了Guest账号上。在命令提示符窗口中输入账号上。在命令提示符窗口中输入cca192.168.0.45administrator11111命令，来查看远程主机上的命令，来查看远程主机上的Administrator账号是否被克隆。如果命令执行完毕账号是否被克隆。如果命令执行完毕后，出现后，出现GuestASSAMEASAdministrator的回显信息，则说明该的回显信息，则说明该Administrator账号已经克隆成功。账号已经克隆成功。拼搏拼搏windows安全安全3、使用、使用mt克隆克隆mt.exe是一款非常强大的网络工具，它主要以命令行方式执行，可以开启系统是一款非常强大的网络工具，它主要以命令行方式执行，可以开启系统服务，检查用户以及直接显示用户登陆密码等。它就象一把双刃剑，入侵者和系服务，检查用户以及直接显示用户登陆密码等。它就象一把双刃剑，入侵者和系统管理员都要使用它，但由于常被入侵者使用，所以被很多杀毒软件列为病毒。统管理员都要使用它，但由于常被入侵者使用，所以被很多杀毒软件列为病毒。克隆用户的用法如下：克隆用户的用法如下：mt-cloneadminstratorIUSR_XODU5PTT910NHOO就是把管理员账号就是把管理员账号administrator克隆为克隆为IUSR_XODU5PTT910NHOO账号。最账号。最后执行后执行“netuserIUSR_XODU5PTT910NHOOn3tl04d”命令，修改命令，修改IUSR_XODU5PTT910NHOO的密码为的密码为n3tl04d。4、使用、使用AIO克隆克隆AIO(AllInOne)是一个把很多小工具功能集成一体的一个是一个把很多小工具功能集成一体的一个“工具工具”，其中有，其中有克隆用户、修改服务的启动类型、删除系统账户、检查系统隐藏服务、端口扫描克隆用户、修改服务的启动类型、删除系统账户、检查系统隐藏服务、端口扫描和端口转发等等。和端口转发等等。使用使用AIO克隆克隆:Aio.exe-Clone正常账号正常账号要被克隆账户要被克隆账户密码密码如如:Aio.exe-CloneAdministratorIUSR_XODU5PTT910NHOOn3tl04d这样就可以用这样就可以用IUSR_XODU5PTT910NHOOn3tl04d作为管理员登录了。作为管理员登录了。拼搏拼搏Office密码破解密码破解AdvancedOfficePasswordRecovery是一个多功能是一个多功能Office文档密码破解工具，能文档密码破解工具，能够处理微软公司的各种常见文档格式，涵盖从够处理微软公司的各种常见文档格式，涵盖从Word到到Project在内的十四种类型。在内的十四种类型。软件提供了软件提供了“暴力暴力”和和“字典字典”两种破解方式，如果时间足够加上破解策略得当，两种破解方式，如果时间足够加上破解策略得当，AdvancedOfficePasswordRecovery（AOPR）完全可以找回用户遗忘的文档）完全可以找回用户遗忘的文档密码。密码。下载地址下载地址:http:/