写点什么

网络攻防学习笔记 Day15

发布于: 2021 年 05 月 15 日
网络攻防学习笔记 Day15

对域内的攻击方法可以理解为两类,第一类是利用常规漏洞进行攻击,比如利用域内机器上面的 Web 服务、机器系统层面的漏洞(如 MS17-010),另外一类就是针对域控制器的漏洞(如 MS14-068),可以通过普通权限获取域控的权限。


SSP 的全称是 Security Support Provider,又名 Security Package,而 SSPI 的全称是 Security Support Provider Interface,它是 Windows 系统在执行认证操作时所使用的 API,用户可以通过自己开发或者添加 SSP 对系统的身份验证和事件进行操作。


通常攻防渗透的最后阶段是痕迹清除,它是为了躲避反追踪和隐藏攻击的一种方式,相关技术内容涉及系统、网络、应用日志的删除、混淆和修改,数据恢复技术对抗,系统还原机制利用,安全审计设备的干扰和停用等。


Windows 的日志文件主要有三类,分别是系统日志(SysEvent)、应用程序日志(AppEvent)和安全日志(SecEvent)


系统日志:记录操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃及数据。


应用程序日志:包含由应用程序或系统程序记录的事件,主要记录程序运行方面的事件。


安全日志:记录系统的安全审计事件,包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、账号管理、策略变更和系统事件。


手工清除 Windows 的日志比较困难,一般可以借助 clearlog 和 elsave 等工具清除。


logtamper 可以清除针对 utmp、wtmp、lastlog 的日志,工具下载地址为“https://github.com/re4lity/logtamper”。


因特网的以下几个特性易被攻击者利用,特别是在基于 IPv4 的因特网中。

1.分组交换

2.认证与可追踪性

3.尽力而为(best-effort)的服务策略

4.匿名与隐私

5.对全球网络基础实施的依赖

6.无尺度网络

7.互联网的级联特性

8.中间盒子


发布于: 2021 年 05 月 15 日阅读数: 14
用户头像

还未添加个人签名 2018.11.30 加入

还未添加个人简介

评论

发布
暂无评论
网络攻防学习笔记 Day15