网络攻防学习笔记 Day15

对域内的攻击方法可以理解为两类，第一类是利用常规漏洞进行攻击，比如利用域内机器上面的 Web 服务、机器系统层面的漏洞（如 MS17-010），另外一类就是针对域控制器的漏洞（如 MS14-068），可以通过普通权限获取域控的权限。

SSP 的全称是 Security Support Provider，又名 Security Package，而 SSPI 的全称是 Security Support Provider Interface，它是 Windows 系统在执行认证操作时所使用的 API，用户可以通过自己开发或者添加 SSP 对系统的身份验证和事件进行操作。

通常攻防渗透的最后阶段是痕迹清除，它是为了躲避反追踪和隐藏攻击的一种方式，相关技术内容涉及系统、网络、应用日志的删除、混淆和修改，数据恢复技术对抗，系统还原机制利用，安全审计设备的干扰和停用等。

Windows 的日志文件主要有三类，分别是系统日志（SysEvent）、应用程序日志（AppEvent）和安全日志（SecEvent）。

系统日志：记录操作系统组件产生的事件，主要包括驱动程序、系统组件和应用软件的崩溃及数据。

应用程序日志：包含由应用程序或系统程序记录的事件，主要记录程序运行方面的事件。

安全日志：记录系统的安全审计事件，包含各种类型的登录日志、对象访问日志、进程追踪日志、特权使用、账号管理、策略变更和系统事件。

手工清除 Windows 的日志比较困难，一般可以借助 clearlog 和 elsave 等工具清除。

logtamper 可以清除针对 utmp、wtmp、lastlog 的日志，工具下载地址为“https://github.com/re4lity/logtamper”。

因特网的以下几个特性易被攻击者利用，特别是在基于 IPv4 的因特网中。

1．分组交换

2．认证与可追踪性

3．尽力而为（best-effort）的服务策略

4．匿名与隐私

5．对全球网络基础实施的依赖

6．无尺度网络

7．互联网的级联特性

8．中间盒子