iT邦幫忙

2024 iThome 鐵人賽

DAY 14
0
Security

前端小廢物誤入 Hackthebox Module系列 第 14

來了解一下看不懂的 Windows 相關知識

  • 分享至 

  • xImage
  •  

Windows 重要漏洞


筆者 say say 念:

在學 Shell & Payload 那個章節的時候,文章上有提及到 Windows 歷年的重要漏洞 ><
先給讀者看一下 ~


MS08-067

這是一個 SMB 協議的重大漏洞,當時微軟針對多個 Windows 版本推出了修補程式。這個漏洞使得入侵 Windows 主機變得非常容易。像 Conficker 蠕蟲 就利用這個漏洞來自動感染易受攻擊的主機,甚至連 Stuxnet 這樣的高級攻擊也利用過它。

影響

任何未修補的 Windows 系統都容易受到自動化惡意軟件的攻擊,並迅速傳播。

EternalBlue (MS17-010)

這是來自美國國安局(NSA)被泄露的漏洞利用工具,最著名的是被用來發動 WannaCry 勒索病毒和 NotPetya 攻擊。這個漏洞針對 SMB v1 協議 的缺陷,允許遠程執行代碼。

影響

在 2017 年,僅憑這個漏洞就感染了超過 20 萬台主機,至今仍是 Windows 系統常見的攻擊路徑。

PrintNightmare

這是一個影響 Windows 打印後台 的遠程代碼執行漏洞。攻擊者只要有主機的合法憑證,或者獲得低權限 shell,就能安裝一個惡意打印驅動,並提升到系統級權限。這個漏洞在 2021 年期間大肆利用。

影響

攻擊者可以通過該漏洞獲取系統級控制權限,影響廣泛。

BlueKeep (CVE 2019-0708)

這是影響遠程桌面協議(RDP)的漏洞,允許攻擊者遠程執行代碼。這個漏洞影響從 Windows 2000 到 Server 2008 R2 的系統。

影響

對於沒有打補丁的舊系統,這是一個非常危險的漏洞,可能導致攻擊者獲取完全的系統控制權。

Sigred (CVE 2020-1350)

這個漏洞利用了 DNS 系統處理 SIG 資源記錄 的缺陷。雖然技術上比較複雜,但如果成功利用,攻擊者可以獲取 Domain 管理員權限,因為它影響了 DNS 服務器,而 DNS 服務器通常是主要 Domain 控制器。

影響

成功攻擊後可以直接控制 Domain,威脅極高。

SeriousSam (CVE 2021-36924)

這個漏洞涉及 Windows 系統中對配置文件夾的權限處理。在修補之前,低權限用戶可以訪問 C:\Windows\system32\config 文件夾中的 SAM 數據庫,該數據庫包含敏感的用戶憑證信息。雖然文件在系統運行時無法訪問,但攻擊者可以利用備份文件中的錯誤來提取憑證。

影響

攻擊者可以通過備份文件獲取用戶憑證,從而進行進一步的攻擊。

Zerologon (CVE 2020-1472)

這個漏洞利用了 Microsoft 的 Active Directory Netlogon 遠程協議 中的加密漏洞,允許攻擊者通過 NTLM 協議登錄伺服器,甚至可以發送帳戶更改請求。這個攻擊雖然技術稍微複雜,但執行起來非常簡單,攻擊者只需要嘗試 256 次就能猜中計算機帳戶密碼,整個過程可能只需要幾秒鐘。

影響

能快速破解域控制器,並進一步控制整個系統網絡,危害非常大。

簡介 SMB, SIG, SAM, NTLM

這邊大致上介紹一下 SMB, SIG, SAM, NTLM 分別是什麼,以及假設你是一個資安人員,要怎麼看待這些東西~

SMB(Server Message Block)—— 文件分享與遠程存取的基石

SMB 是什麼?

SMB 是一種網路協議,主要用於 Windows 中的文件和打印機共享。簡單來說,它讓不同的電腦可以透過網路互相存取文件、資料夾、打印機等資源。Windows 系統使用 SMB 來讓用戶在同一網路內分享文件或資料。

為什麼資安人員需要關注?

SMB 是 Windows 常見的功能,但這個功能也經常成為攻擊者的目標。舉例來說,著名的 EternalBlue(永恆之藍) 漏洞就是利用 SMB 來進行攻擊的。這個漏洞導致了 WannaCry 和 NotPetya 等勒索軟件的爆發。攻擊者利用 SMB 協議的漏洞,得以在沒有適當驗證的情況下遠程執行惡意代碼。因此,在資安工作中,確保 SMB 安全、修補已知漏洞,並關閉不必要的服務是防止攻擊的重點。

應用建議

  • 檢查你的網路環境中是否有未修補的 SMB 漏洞。
  • 關閉不需要的 SMB 服務。
  • 使用防火牆限制 SMB 的訪問範圍。

NTLM(NT LAN Manager)—— 用於驗證的老牌協議

NTLM 是什麼?

NTLM 是 Windows 早期開發的一種驗證協議,用來確保登入帳號密碼的安全性。當用戶登入 Windows 系統時,NTLM 會負責驗證使用者的身份。它會將用戶的密碼經過散列(Hash)處理,然後在網路傳輸中使用這些散列進行驗證。

為什麼資安人員需要關注?

NTLM 雖然很常見,但安全性已經過時。許多攻擊技術(例如 Pass-the-Hash 攻擊)能利用 NTLM 漏洞取得系統控制權。在這類攻擊中,攻擊者不需要知道使用者的明文密碼,只需要偷取 NTLM 的散列值,便能假裝是這個使用者登入系統。

應用建議

  • 優先考慮使用更安全的驗證協議,例如 Kerberos。(至於 Kerberos 是什麼,應該會在之後的文章中說明)
  • 定期檢查是否有使用 NTLM 的應用程式或網路服務,並考慮逐步淘汰 NTLM ~
  • 使用強密碼政策來增加攻擊者破解散列值的難度。

SIG(數字簽名)—— 確保數據完整性的手段

SIG 是什麼?

SIG(Signature)在 Windows 中主要指數字簽名技術。數字簽名可用於確保數據的完整性與真實性。在 Windows 的不同應用程序中,數字簽名技術被廣泛用於保護傳輸中的數據,防止它們被未經授權地修改或替換。

為什麼資安人員需要關注?

數字簽名能幫助防止惡意攻擊者在傳輸過程中修改數據。例如,在 SMB 協議中,使用數字簽名可以確保傳輸的文件未被篡改,從而加強數據的安全性。

應用建議

在可能的情況下,啟用數字簽名來保護網路上的資料傳輸,特別是在像 SMB 這樣的協議上。
檢查數字簽名是否被正確應用,避免未經授權的修改。

SAM(Security Account Manager)—— 管理使用者帳號的資料庫

SAM 是什麼?

SAM 是 Windows 系統中的一個重要數據庫,用來存放所有使用者帳號的憑證,包括帳號名稱和密碼的散列值。當使用者嘗試登入系統時,Windows 會查詢 SAM 來確認密碼是否正確。

為什麼資安人員需要關注?

SAM 是攻擊者的熱門目標。如果攻擊者能取得 SAM 數據庫,並成功取得裡面的散列值,他們可以嘗試進行密碼破解,或利用 Pass-the-Hash 攻擊來控制系統。通常情況下,SAM 數據庫是受保護的,攻擊者無法直接訪問。但有時,攻擊者可以透過漏洞或後門工具來繞過這些限制。

應用建議

  • 使用工具檢查是否有未授權的訪問 SAM 的企圖。
  • 確保系統的補丁和更新是最新的,修補任何可能導致 SAM 被盜取的漏洞。
  • 設置強密碼策略,並考慮使用多因素驗證來增加系統的防護層。

今日心得

是說今天玩了模組玩了一整天@@
覺得應該可以玩到半夜~
滿喜歡這種邊打怪邊接觸新知的過程~很有趣!

參考資料

https://academy.hackthebox.com/
AWS 上的介紹&chatgpt


上一篇
滲透測試範例
下一篇
Windows 基礎
系列文
前端小廢物誤入 Hackthebox Module31
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

尚未有邦友留言

立即登入留言