网络攻防学习笔记 Day15
对域内的攻击方法可以理解为两类,第一类是利用常规漏洞进行攻击,比如利用域内机器上面的 Web 服务、机器系统层面的漏洞(如 MS17-010),另外一类就是针对域控制器的漏洞(如 MS14-068),可以通过普通权限获取域控的权限。
SSP 的全称是 Security Support Provider,又名 Security Package,而 SSPI 的全称是 Security Support Provider Interface,它是 Windows 系统在执行认证操作时所使用的 API,用户可以通过自己开发或者添加 SSP 对系统的身份验证和事件进行操作。
通常攻防渗透的最后阶段是痕迹清除,它是为了躲避反追踪和隐藏攻击的一种方式,相关技术内容涉及系统、网络、应用日志的删除、混淆和修改,数据恢复技术对抗,系统还原机制利用,安全审计设备的干扰和停用等。
Windows 的日志文件主要有三类,分别是系统日志(SysEvent)、应用程序日志(AppEvent)和安全日志(SecEvent)。
系统日志:记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃及数据。
应用程序日志:包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件。
安全日志:记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、账号管理、策略变更和系统事件。
手工清除 Windows 的日志比较困难,一般可以借助 clearlog 和 elsave 等工具清除。
logtamper 可以清除针对 utmp、wtmp、lastlog 的日志,工具下载地址为“https://github.com/re4lity/logtamper”。
因特网的以下几个特性易被攻击者利用,特别是在基于 IPv4 的因特网中。
1.分组交换
2.认证与可追踪性
3.尽力而为(best-effort)的服务策略
4.匿名与隐私
5.对全球网络基础实施的依赖
6.无尺度网络
7.互联网的级联特性
8.中间盒子
版权声明: 本文为 InfoQ 作者【穿过生命散发芬芳】的原创文章。
原文链接:【http://xie.infoq.cn/article/6d450310d7743990a3bd67488】。文章转载请联系作者。
评论