一种检测哈希传递攻击的可靠方法

来源:http://www.gdhfd.com 作者:澳门太阳娱乐集团官网 人气:126 发布时间:2019-09-24
摘要:在NBNS/LLMNR欺骗攻击成功的情况下,一半的被截获的NetNTLMv2哈希被用于进行NTLM中继攻击。如果在NBNS/LLMNR欺骗攻击期间拦截了域管理员帐户的NetNTLMv2哈希,则可通过NTLM中继攻击快速获得活

在NBNS/LLMNR 欺骗攻击成功的情况下,一半的被截获的NetNTLMv2哈希被用于进行NTLM中继攻击。如果在NBNS/LLMNR 欺骗攻击期间拦截了域管理员帐户的NetNTLMv2哈希,则可通过NTLM中继攻击快速获得活动目录的最高权限。

哈希传递对于大多数企业或组织来说仍然是一个非常棘手的问题,这种攻击手法经常被渗透测试人员和攻击者们使用。当谈及检测哈希传递攻击时,我首先开始研究的是先看看是否已经有其他人公布了一些通过网络来进行检测的可靠方法。我拜读了一些优秀的文章,但我没有发现可靠的方法,或者是这些方法产生了大量的误报。

*本文作者:vitaminsecurity,转载请注明来自 FreeBuf.COM返回搜狐,查看更多

澳门太阳娱乐集团官网,安全ID:NULL SID可以作为一个特征,但不要依赖于此,因为并非所有的工具都会用到SID。虽然我还没有亲眼见过哈希传递不会用到NULL SID,但这也是有可能的。

关于此漏洞利用的开发过程的更多信息,请访问 ,

另外一个好处是这个事件日志包含了认证的源IP地址,所以你可以快速的识别网络中哈希传递的攻击来源。

这种攻击成功地在25%的攻击向量中应用,影响了28%的目标企业。

检测哈希传递攻击是比较有挑战性的事情,因为它在网络中表现出的行为是正常。比如:当你关闭了RDP会话并且会话还没有关闭时会发生什么?当你去重新认证时,你之前的机器记录仍然还在。这种行为表现出了与在网络中传递哈希非常类似的行为。

在开发哈希传递攻击的检测策略时,请注意与以下相关的非典型网络登录事件:

Computer ConfigurationWindowsSettingsSecurity SettingsLocal PoliciesUser Rights Assignment 

澳门太阳娱乐集团官网 1

大多数企业或组织都没有能力实施GPO策略,而传递哈希可被利用的可能性却非常大。

澳门太阳娱乐集团官网 2

最后,我们看到这是一个基于帐户域和名称的本地帐户。

提取本地用户的哈希密码

登录类型:3

本节提供有关Web应用中漏洞出现频率的信息(下图表示了每种特定类型漏洞的Web应用的比例)。

密钥长度:0 – 这是会话密钥长度。这是事件日志中最重要的检测特征之一。像RDP这样的东西,密钥长度的值是 128位。任何较低级别的会话都将是0,这是较低级别协议在没有会话密钥时的一个明显的特征,所在此特征可以在网络中更好的发现哈希传递攻击。

第六步

让我们分解日志并且模拟哈希传递攻击过程。在这种情况下,我们首先想象一下,攻击者通过网络钓鱼获取了受害者电脑的凭据,并将其提升为管理级别的权限。从系统中获取哈希值是非常简单的事情。假设内置的管理员帐户是在多个系统间共享的,攻击者希望通过哈希传递,从SystemA(已经被入侵)移动到SystemB(还没有被入侵但具有共享的管理员帐户)。

澳门太阳娱乐集团官网 3

在这个例子中,攻击者通过传递哈希建立了到第二个系统的连接。接下来,让我们看看事件日志4624,包含了什么内容:

在所有经济成分的Web应用中,都发现了敏感数据暴露漏洞(内部IP地址和数据库访问端口、密码、系统备份等)和使用字典中的凭据漏洞。

下面我们要查看所有登录类型是3(网络登录)和ID为4624的事件日志。我们正在寻找密钥长度设置为0的NtLmSsP帐户(这可以由多个事件触发)。这些是哈希传递(WMI,SMB等)通常会使用到的较低级别的协议。另外,由于抓取到哈希的两个唯一的位置我们都能够访问到(通过本地哈希或通过域控制器),所以我们可以只对本地帐户进行过滤,来检测网络中通过本地帐户发起的传递哈希攻击行为。这意味着如果你的域名是GOAT,你可以用GOAT来过滤任何东西,然后提醒相应的人员。不过,筛选的结果应该去掉一些类似安全扫描器,管理员使用的PSEXEC等的记录。

用于穿透网络边界的攻击向量

澳门太阳娱乐集团官网 4

在所有系统中遵循最小权限原则。此外,建议尽可能避免在域环境中重复使用本地管理员帐户。针对特权账户遵循微软层级模型以降低入侵风险。

使用Credential Guard机制(该安全机制存在于Windows 10/Windows Server 2016中)

使用身份验证策略(Authentication Policies)和Authentication Policy Silos

禁用网络登录(本地管理员帐户或者本地管理员组的账户和成员)。(本地管理员组存在于Windows 8.1/ Windows Server2012R2以及安装了KB2871997更新的Windows 7/Windows 8/Windows Server2008R2中)

使用“受限管理模式RDP”而不是普通的RDP。应该注意的是,该措施可以减少明文密码泄露的风险,但增加了通过散列值建立未授权RDP连接(Hash传递攻击)的风险。只有在采取了综合防护措施以及能够阻止Hash传递攻击时,才推荐采用此方法。

将特权账户置于受保护的用户组,该组中的成员只能通过Kerberos协议登录。(Microsoft网站上提供了该组的所有保护机制的列表)

启用LSA保护,以阻止通过未受保护的进程来读取内存和进行代码注入。这为LSA存储和管理的凭据提供了额外的安全防护。

禁用内存中的WDigest存储或者完全禁用WDigest身份验证机制(适用于Windows8.1 / Windows Server 2012 R2或安装了KB2871997更新的Windows7/Windows Server 2008系统)。

在域策略配置中禁用SeDebugPrivilege权限

禁用自动重新登录(ARSO)功能

使用特权帐户进行远程访问(包括通过RDP)时,请确保每次终止会话时都注销。

在GPO中配置RDP会话终止:计算机配置策略管理模板 Windows组件远程桌面服务远程桌面会话主机会话时间限制。

启用SACL以对尝试访问lsass.exe的进程进行登记管理

使用防病毒软件。

设置路径位于:

澳门太阳娱乐集团官网 5

澳门太阳娱乐集团官网 6

源IP地址和目标资源的IP地址

登录时间(工作时间、假期)

接下来我们看到登录类型是3(通过网络远程登录)。

NBNS欺骗攻击。拦截NetNTLMv2哈希。

漏洞:使用NBNS协议

主机名 :(注意,这不是100%有效;例如,Metasploit和其他类似的工具将随机生成主机名)。你可以导入所有的计算机列表,如果没有标记的计算机,那么这有助于减少误报。但请注意,这不是减少误报的可靠方法。并不是所有的工具都会这样做,并且使用主机名进行检测的能力是有限的。

原标题:卡巴斯基2017年企业信息系统的安全评估报告

“拒绝从网络访问此计算机”

用于在活动目录域中获取最高权限的不同攻击技术在目标企业中的占比

总而言之,有许多方法可以检测环境中的哈希传递攻击行为。这个在小型和大型网络中都是有效的,并且基于不同的哈希传递的攻击方式都是非常可靠的。它可能需要根据你的网络环境进行调整,但在减少误报和攻击过程中溯源却是非常简单的。

最常见漏洞的Web应用比例

我不会在本文深入剖析哈希传递的历史和工作原理,但如果你有兴趣,你可以阅读SANS发布的这篇优秀的文章——哈希攻击缓解措施。

澳门太阳娱乐集团官网 7

请注意,你可以(也可能应该)将域的日志也进行分析,但你很可能需要根据你的实际情况调整到符合基础结构的正常行为。比如,OWA的密钥长度为0,并且具有与基于其代理验证的哈希传递完全相同的特征。这是OWA的正常行为,显然不是哈希传递攻击行为。如果你只是在本地帐户进行过滤,那么这类记录不会被标记。

通过何种方式获取管理接口的访问权限

第四步

接下来,我们看到登录过程是NtLmSsp,密钥长度为0.这些对于检测哈希传递非常的重要。

敏感数据暴露漏洞(根据OWASP分类标准),包括Web应用的源码暴露、配置文件暴露以及日志文件暴露等。

事件ID:4624

利用Web应用中的漏洞(例如任意文件上传(28%)和SQL注入(17%)等)渗透网络边界并获取内网访问权限是最常见的攻击向量(73%)。用于穿透网络边界的另一个常见的攻击向量是针对可公开访问的管理接口的攻击(弱密码、默认凭据以及漏洞利用)。通过限制对管理接口(包括SSH、RDP、SNMP以及web管理接口等)的访问,可以阻止约一半的攻击向量。

哈希传递的主要成因是由于大多数企业或组织在一个系统上拥有共享本地帐户,因此我们可以从该系统中提取哈希并移动到网络上的其他系统。当然,现在已经有了针对这种攻击方式的缓解措施,但他们不是100%的可靠。例如,微软修补程序和较新版本的Windows(8.1和更高版本)“修复”了哈希传递,但这仅适用于“其他”帐户,而不适用于RID为 500(管理员)的帐户。

一种可能的解决方案是通过蜜罐以不存在的计算机名称来广播NBNS/LLMNR请求,如果收到了响应,则证明网络中存在攻击者。示例: 。

如果可以访问整个网络流量的备份,则应该监测那些发出多个LLMNR/NBNS响应(针对不同的计算机名称发出响应)的单个IP地址。

澳门太阳娱乐集团官网 8

澳门太阳娱乐集团官网 9

【编辑推荐】

第二步

澳门太阳娱乐集团官网 10

建议:

接下来的问题是,你怎么检测哈希传递攻击?

使用字典中的凭据

哈希传递仍然广泛的用于网络攻击并且是大多数企业和组织的一个共同的安全问题。有许多方法可以禁止和降低哈希传递的危害,但是并不是所有的企业和组织都可以有效地实现这一点。所以,最好的选择就是如何去检测这种攻击行为。

下图描述了利用以下漏洞获取域管理员权限的更复杂攻击向量的一个示例:

在这个例子中,我们将使用Metasploit psexec,尽管还有很多其他的方法和工具可以实现这个目标:

利用管理接口发起攻击的示例

帐户名称和域名:仅警告只有本地帐户(即不包括域用户名的账户)的帐户名称。这样可以减少网络中的误报,但是如果对所有这些账户进行警告,那么将检测例如:扫描仪,psexec等等这类东西,但是需要时间来调整这些东西。在所有帐户上标记并不一定是件坏事(跳过“COMPUTER$”帐户),调整已知模式的环境并调查未知的模式。

我们将企业的安全等级划分为以下评级:

登录过程:NtLmSsP

澳门太阳娱乐集团官网 11

接下来,工作站名称肯定看起来很可疑; 但这并不是一个好的检测特征,因为并不是所有的工具都会将机器名随机化。你可以将此用作分析哈希传递攻击的额外指标,但我们不建议使用工作站名称作为检测指标。源网络IP地址可以用来跟踪是哪个IP执行了哈希传递攻击,可以用于进一步的攻击溯源调查。

利用管理接口获取访问权限

通过对成千上万个系统上的日志进行广泛的测试和分析,我们已经能够识别出在大多数企业或组织中的非常具体的攻击行为并且具有非常低的误报率。有许多规则可以添加到以下检测功能中,例如,在整个网络中查看一些成功的结果会显示“哈希传递”,或者在多次失败的尝试后将显示凭证失败。

获取企业内网的访问权限。可能利用的漏洞:不安全的网络拓扑

澳门太阳娱乐集团官网 12

针对获取到的用户名发起在线密码猜测攻击。可能利用的漏洞:弱密码,可公开访问的远程管理接口

澳门太阳娱乐集团官网 13

使用此技术的攻击向量的占比

为了检测到这一点,我们首先需要确保我们有适当的组策略设置。我们需要将帐户登录设置为“成功”,因为我们需要用事件日志4624作为检测的方法。

破解从SAM文件中提取的NTLM哈希

破解通过NBNS/LLMNR欺骗攻击拦截的NetNTLMv2哈希

Kerberoasting攻击(见下文)

破解从其它系统上获取的哈希

总之,攻击者需要从系统中抓取哈希值,通常是通过有针对性的攻击(如鱼叉式钓鱼或通过其他方法直接入侵主机)来完成的(例如:TrustedSec 发布的 Responder 工具)。一旦获得了对远程系统的访问,攻击者将升级到系统级权限,并从那里尝试通过多种方法(注册表,进程注入,磁盘卷影复制等)提取哈希。对于哈希传递,攻击者通常是针对系统上的LM/NTLM哈希(更常见的是NTLM)来操作的。我们不能使用类似NetNTLMv2(通过响应者或其他方法)或缓存的证书来传递哈希。我们需要纯粹的和未经过滤的NTLM哈希。基本上只有两个地方才可以获得这些凭据;第一个是通过本地帐户(例如管理员RID 500帐户或其他本地帐户),第二个是域控制器。

第七步

安全ID:空SID – 可选但不是必需的,目前还没有看到为Null的 SID未在哈希传递中使用。

在线密码猜测攻击

澳门太阳娱乐集团官网 14

安全建议:

你可以禁止通过GPO传递哈希:

在利用管理接口获取访问权限时利用过时软件中的已知漏洞是最不常见的情况。

建议制作可能遭到攻击的账户的列表。该列表不仅应包括高权限帐户,还应包括可用于访问组织关键资源的所有帐户。

安全建议:

我们通过卡巴斯基实验室的自有方法进行总体的安全等级评估,该方法考虑了测试期间获得的访问级别、信息资源的优先级、获取访问权限的难度以及花费的时间等因素。

NBNS/LLMNR欺骗攻击

结论

我们还建议您特别注意使用PowerShell(Invoke-Mimikatz)凭据提取攻击的检测方法。

监测通过RC4加密的TGS服务票证的请求(Windows安全日志的记录是事件4769,类型为0×17)。短期内大量的针对不同SPN的TGS票证请求是攻击正在发生的指标。

外部渗透测试是指针对只能访问公开信息的外部互联网入侵者的企业网络安全状况评估

内部渗透测试是指针对位于企业网络内部的具有物理访问权限但没有特权的攻击者进行的企业网络安全状况评估。

Web应用安全评估是指针对Web应用的设计、开发或运营过程中出现的错误导致的漏洞(安全漏洞)的评估。

终端主机上的大量4625事件(暴力破解本地和域帐户时会发生此类事件)

域控制器上的大量4771事件(通过Kerberos攻击暴力破解域帐户时会发生此类事件)

域控制器上的大量4776事件(通过NTLM攻击暴力破解域帐户时会发生此类事件)

澳门太阳娱乐集团官网 15

卡巴斯基实验室的安全服务部门每年都会为全球的企业开展数十个网络安全评估项目。在本文中,我们提供了卡巴斯基实验室2017年开展的企业信息系统网络安全评估的总体概述和统计数据。

Hash传递攻击

澳门太阳娱乐集团官网 16

值得注意的是JavaRMI服务中的远程代码执行及许多开箱即用产品使用的Apache Commons Collections和其它Java库中的反序列化漏洞。2017年OWASP项目将不安全的反序列化漏洞包含进其10大web漏洞列表(OWASP TOP 10),并排在第八位(A8-不安全的反序列化)。这个问题非常普遍,相关漏洞数量之多以至于Oracle正在考虑在Java的新版本中放弃支持内置数据序列化/反序列化的可能性1。

针对内部入侵者的安全评估

离线密码猜测攻击。可能利用的漏洞:弱密码

澳门太阳娱乐集团官网 17

安全级别为非常低对应于我们能够穿透内网的边界并访问内网关键资源的情况(例如,获得内网的最高权限,获得关键业务系统的完全控制权限以及获得关键的信息)。此外,获得这种访问权限不需要特殊的技能或大量的时间。

思科IOS中的远程代码执行漏洞(CVE-2017-3881)

VMware vCenter中的远程代码执行漏洞(CVE-2017-5638)

Samba中的远程代码执行漏洞(CVE-2017-7494 – Samba Cry)

Windows SMB中的远程代码执行漏洞(MS17-010)

敏感数据暴露

对NetNTLMv2哈希进行离线密码猜测攻击。

漏洞:弱密码

澳门太阳娱乐集团官网 18

澳门太阳娱乐集团官网 19

第四步

安全建议:

尽管86%的目标企业使用了过时、易受攻击的软件,但只有10%的攻击向量利用了软件中的未经修复的漏洞来穿透内网边界(28%的目标企业)。这是因为对这些漏洞的利用可能导致拒绝服务。由于渗透测试的特殊性(保护客户的资源可运行是一个优先事项),这对于模拟攻击造成了一些限制。然而,现实中的犯罪分子在发起攻击时可能就不会考虑这么多了。

监控软件中被公开披露的新漏洞。及时更新软件。使用包含IDS/IPS模块的终端保护解决方案。

安全建议:

检测建议:

使用域帐户执行Kerberoasting攻击。获得SPN帐户的TGS票证

大多数漏洞的利用代码已公开(例如MS17-010、Samba Cry、VMwarevCenter CVE-2017-5638),使得利用这些漏洞变得更加容易

第二步

在CIA文件Vault 7:CIA中发现了对此漏洞的引用,该文档于2017年3月在维基解密上发布。该漏洞的代号为ROCEM,文档中几乎没有对其技术细节的描述。之后,该漏洞被分配编号CVE-2017-3881和cisco-sa-20170317-cmp。

改进Web应用安全性的建议

利用敏感信息泄露漏洞获取Web应用中的用户密码哈希

检测建议:

cisco-sa-20170317-cmp或CVE-2017-3881(CiscoIOS)。该漏洞允许未经授权的攻击者通过Telnet协议以最大权限访问交换机。

cisco-sa-20170629-snmp(Cisco IOS)。该漏洞允许攻击者在知道SNMP社区字符串值(通常是字典中的值)和只读权限的情况下通过SNMP协议以最大权限访问设备。

思科智能安装功能。该功能在Cisco交换机中默认启用,不需要身份验证。因此,未经授权的攻击者可以获取和替换交换机的配置文件2。

我们通过卡巴斯基实验室的自有方法进行总体的安全等级评估,该方法考虑了测试期间获得的访问级别、信息资源的优先级、获取访问权限的难度以及花费的时间等因素。安全级别为非常低对应于我们能够获得客户内网的完全控制权的情况(例如,获得内网的最高权限,获得关键业务系统的完全控制权限以及获取关键的信息)。此外,获得这种访问权限不需要特殊的技能或大量的时间。

这些我们实践过的攻击向量在复杂性和实践步骤数(从2步到6步)方面各不相同。平均而言,在每个企业中获取域管理员权限需要3个步骤。

澳门太阳娱乐集团官网 20

澳门太阳娱乐集团官网 21

当一个应用程序账户在操作系统中具有过多的权限时,利用该应用程序中的漏洞可能在主机上获得最高权限,这使得后续攻击变得更加容易。

获取域管理员权限的最简单攻击向量的示例:

利用目标主机的其它漏洞(27.5%)。例如,攻击者可利用Web应用中的任意文件读取漏洞从Web应用的配置文件中获取明文密码。

使用Web应用、CMS系统、网络设备等的默认凭据(27.5%)。攻击者可以在相应的文档中找到所需的默认账户凭据。

发起在线密码猜测攻击(18%)。当没有针对此类攻击的防护措施/工具时,攻击者通过猜测来获得密码的机会将大大增加。

从其它受感染的主机获取的凭据(18%)。在多个系统上使用相同的密码扩大了潜在的攻击面。

澳门太阳娱乐集团官网 22

用户使用字典中的凭据。通过密码猜测攻击,攻击者可以访问易受攻击的系统。

未经验证的重定向和转发(未经验证的转发)允许远程攻击者将用户重定向到任意网站并发起网络钓鱼攻击或分发恶意软件。在某些案例中,此漏洞还可用于访问敏感信息。

远程代码执行允许攻击者在目标系统或目标进程中执行任何命令。这通常涉及到获得对Web应用源代码、配置、数据库的完全访问权限以及进一步攻击网络的机会。

如果没有针对密码猜测攻击的可靠保护措施,并且用户使用了字典中的用户名和密码,则攻击者可以获得目标用户的权限来访问系统。

许多Web应用使用HTTP协议传输数据。在成功实施中间人攻击后,攻击者将可以访问敏感数据。尤其是,如果拦截到管理员的凭据,则攻击者将可以完全控制相关主机。

文件系统中的完整路径泄露漏洞(Web目录或系统的其他对象)使其他类型的攻击更加容易,例如,任意文件上传、本地文件包含以及任意文件读取。

密码策略允许用户选择可预测且易于猜测的密码。此类密码包括:p@SSword1, 123等。

目标企业的安全等级分布

澳门太阳娱乐集团官网 23

SQL注入 – 第三大常见的漏洞类型。它涉及到将用户的输入数据注入SQL语句。如果数据验证不充分,攻击者可能会更改发送到SQL Server的请求的逻辑,从而从Web服务器获取任意数据(以Web应用的权限)。

2017年,我们发现的高风险、中等风险和低风险漏洞的数量大致相同。但是,如果查看Web应用的整体风险级别,我们会发现超过一半(56%)的Web应用包含高风险漏洞。对于每一个Web应用,其整体风险级别是基于检测到的漏洞的最大风险级别而设定的。

安全建议:

42%的目标企业可利用NTLM中继攻击(结合NBNS/LLMNR欺骗攻击)获取活动目录域的最高权限。47%的目标企业无法抵御此类攻击。

从Windows SAM存储中提取的本地帐户NTLM哈希值可用于离线密码猜测攻击或哈希传递攻击。

澳门太阳娱乐集团官网 24

其它类型的漏洞都差不多,几乎每一种都占4%:

引言

澳门太阳娱乐集团官网 25

通过管理接口获取访问权限通常利用了以下方式获得的密码:

建议:

澳门太阳娱乐集团官网 26

检测从SAM提取登录凭据的攻击取决于攻击者使用的方法:直接访问逻辑卷、Shadow Copy、reg.exe,远程注册表等。

未经验证的重定向和转发(根据OWASP分类标准)。此类漏洞的风险级别通常为中等,并常被用于进行网络钓鱼攻击或分发恶意软件。2017年,卡巴斯基实验室专家遇到了该漏洞类型的一个更加危险的版本。这个漏洞存在于Java应用中,允许攻击者实施路径遍历攻击并读取服务器上的各种文件。尤其是,攻击者可以以明文形式访问有关用户及其密码的详细信息。

最常用的攻击技术

通过SNMP协议检测到一个过时的、易受攻击的思科IOS版本。漏洞:cisco-sa-20170629-snmp( . com/security/center/content/CiscoSecurityAdvisory/cisco-sa-20170629-snmp)。

防护该攻击的最有效方法是阻止通过NTLM协议的身份验证。但该方法的缺点是难以实现。

身份验证扩展协议(EPA)可用于防止NTLM中继攻击。

另一种保护机制是在组策略设置中启用SMB协议签名。请注意,此方法仅可防止针对SMB协议的NTLM中继攻击。

在系统中添加su命令的别名,以记录输入的密码。该命令要求用户输入特权账户的密码。这样,管理员在输入密码时就会被截获。

从思科交换机获取的本地用户帐户的密码与SPN帐户的密码相同。

漏洞:密码重用,账户权限过多

利用思科IOS的版本信息来发现漏洞。利用漏洞CVE-2017-3881获取具有最高权限的命令解释器的访问权。

漏洞:过时的软件(思科)

最常见的漏洞和安全缺陷

建议:

澳门太阳娱乐集团官网 27

安全级别为高对应于在客户的网络边界只能发现无关紧要的漏洞(不会对公司带来风险)的情况。

非常低

中等偏下

中等偏上

利用D-Link网络存储的Web服务中的漏洞。该漏洞允许以超级用户的权限执行任意代码。创建SSH隧道以访问管理网络(直接访问受到防火墙规则的限制)。

漏洞:过时的软件(D-link)

第二步

第一步

澳门太阳娱乐集团官网 28

Web应用的风险级别分布

非常低

中等偏下

中等偏上

漏洞总数统计

严格限制对所有管理接口(包括Web接口)的网络访问。只允许从有限数量的IP地址进行访问。在远程访问时使用VPN。

针对外部入侵者的安全评估

利用Web应用漏洞和可公开访问的管理接口获取内网访问权限的示例

该漏洞允许攻击者通过只读的SNMP社区字符串进行提权,获取设备的完全访问权限。利用思科发布的公开漏洞信息,卡巴斯基专家Artem Kondratenko开发了一个用来演示攻击的漏洞利用程序( 第三步 利用ADSL-LINE-MIB中的一个漏洞以及路由器的完全访问权限,我们可以获得客户的内网资源的访问权限。完整的技术细节请参考 最常见漏洞和安全缺陷的统计信息

Web应用统计

第一步 检测到一个只读权限的默认社区字符串的SNMP服务

本文的主要目的是为现代企业信息系统的漏洞和攻击向量领域的IT安全专家提供信息支持。

澳门太阳娱乐集团官网 29

大多数情况下,企业往往忘记禁用Web远程管理接口和SSH服务的网络访问。大多数Web管理接口是Web应用或CMS的管理控制面板。访问这些管理控制面板通常不仅可以获得对Web应用的完整控制权,还可以获得操作系统的访问权。获得对Web应用管理控制面板的访问权限后,可以通过任意文件上传功能或编辑Web应用的页面来获取执行操作系统命令的权限。在某些情况下,命令行解释程序是Web应用管理控制面板中的内置功能。

利用过时软件中的已知漏洞

在存在域基础设施的所有项目中,有86%可以获得活动目录域的最高权限(例如域管理员或企业管理员权限)。在64%的企业中,可以获得最高权限的攻击向量超过了一个。在每一个项目中,平均有2-3个可以获得最高权限的攻击向量。这里只统计了在内部渗透测试期间实践过的那些攻击向量。对于大多数项目,我们还通过bloodhound等专有工具发现了大量其它的潜在攻击向量。

澳门太阳娱乐集团官网 30

本文由澳门太阳娱乐集团官网发布于澳门太阳娱乐集团官网,转载请注明出处:一种检测哈希传递攻击的可靠方法

关键词:

最火资讯