Windows系统认证攻击与防范全解析
在Windows系统的安全领域,一旦攻击者获得了一定程度的访问权限,后续往往会展开一系列更具威胁性的行动。本文将详细介绍攻击者在获得访问权限后可能采取的攻击手段,以及相应的防范措施。
1. 权限提升
攻击者获取Windows系统的用户账户后,通常会立即试图获取管理员或系统级别的等效权限。以下是一些常见的权限提升攻击方式及相关示例:
-getadmin漏洞:这是针对Windows NT4的一次严重权限提升攻击,其核心技术DLL注入至今仍被用于攻击Windows 2000及更高版本的系统。不过,该攻击需要在目标系统上本地运行,因此对默认无法本地登录Windows服务器的普通用户影响较小,主要对内置操作员组的违规成员和默认互联网服务器账户有威胁。
-历史上的严重漏洞示例:
-Sechole工具:在getadmin之后发布,利用NT4在授予用户调试权限时的访问检查漏洞,使用户能够提升到管理员等效状态。详情可参考http://support.microsoft.com/?kbid=190288。
-LPC端口请求欺骗:由Bindview的Razor团队发现,利用此漏洞的hk.exe工具允许交互式登录的用户获得管理员等效权限。相关信息可查看微软安全公告MS00 - 003。
-命名管道预测:这是Windows 2000的一个漏洞,允许交互式登录的用户控制命名管道实例,将权限提升到系统级别。最著名的利用工具是maceo
