iT邦幫忙

2021 iThome 鐵人賽

DAY 14
0
Security

資安由淺入深系列 第 14

【Day14】淺談系統入侵System Hacking(一)

哈囉,
我們在前面幾天學習了以下這些主題:

  • 資訊蒐集(Footprinting)
  • 網路掃描(Scanning)
  • 列舉技術(Enumeration)
  • 漏洞分析(Vulnerability Analysis)

今天我們要開始進入下一階段系統入侵(System Hacking).../images/emoticon/emoticon28.gif

系統入侵(System Hacking)流程


參考CEHv11,
系統入侵主要為以下這幾個流程:

  1. 獲取訪問權限(Gaining Access)
    透過破解密碼(Cracking Passwords)或是漏洞利用(Vulnerability Explotation)取得目標系統的訪問權限。
  2. 提高權限(Escalating Privileges)
    攻擊者可利用系統或軟體應用程序中存在的漏洞,讓訪問權限提升至管理級別,就能執行一些原本被受保護的操作。
  3. 維持權限(Maintaining Access)
    攻擊者將確保持續擁有高訪問級別的權限,以利後續執行惡意程序、竊取敏感資料或隱藏惡意檔案等行為。
  4. 清除軌跡(Clearing Logs)
    為了避免被檢測到,攻擊者會刪除系統日誌中的相關活動。

獲取訪問權限 Gaining Access

當我們使用微軟的Windows作業系統,
微軟有提供一些使用者驗證機制或協議。

  • SAM(Security Accounts Manager)Database
    安全性帳戶管理器。
    Windows作業系統會使用SAM資料庫或集中式目錄管理服務(Active Directory),也就是常說的AD。
    來儲存與管理使用者帳戶資訊和權限,如使用者群組、使用者帳戶、網域、電腦帳戶等。
    為了防止未經驗證的用戶訪問,SAM會使用hash來儲存密碼,而非用明文(plaintest)。
    而SAM檔案會儲存在C:\Windows\System32\config\SAM中,
    一般使用者不該能直接讀取SAM檔案,近期也有出現Window漏洞讓使用者能讀取SAM組態檔。
    延伸閱讀:Windows 10驚傳一般使用者也能讀取SAM組態檔的漏洞,恐被攻擊者濫用,獲得高系統權限
  • NTLM(NT LAN Manager) Authentication
    NTLM是一種安全驗證協定,其中有這三種方式:LM、NTLMv1和NTLMv2。
    LM(Lan Manager)是比較早的一種驗證作法,會使用56bit DES做加密,而這種加密方式安全性很低,已被淘汰。
    之後微軟又推出NTLM(New technology Lan Manager)來取代LM,會使用Challenge-Response的機制來進行身分驗證。
    其中因為NTLMv1被宣告能暴力破解,所以現在的資安規範多半是建議使用NTLMv2。
    延伸閱讀:冷知識 - NTLMv1 為什麼不安全?
  • Kerberos Authentication
    Kerberos是一種網路認證協議,會利用密鑰加密來為Client與Server做驗證。
    待Client與Server都驗證其ID正確,就會透過此協議來保護發送的資訊,避免重送攻擊與竊聽。
    https://ithelp.ithome.com.tw/upload/images/20211003/20141441hCJOBt3ydU.png

小結

今天簡單介紹了入侵系統的流程,
並補充了一些Windows的驗證機制,
我們明天再相會。

走囉! 高歌離席~/images/emoticon/emoticon29.gif


上一篇
【Day13】漏洞分析Vulnerability Analysis(二)
下一篇
【Day15】淺談系統入侵System Hacking(二)
系列文
資安由淺入深30
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言