вопросы
ip-адресация
уникальное имя, IPv4 - 32 бита, IPv6 - 128 бит.
маска подсети
IP-адрес/количество единичных бит в маске
частные подсети
10.0.0.0/8
172.16.0.0/12
192.168.0.0/16
127.0.0.0/8 — используется для коммуникаций внутри хоста
169.254.0.0/16 — используется для автоматической настройки сетевого интерфейса в случае отсутствия DHCP
как нмап считает, что порт открыт
Приложение принимает запросы на TCP соединение или UDP пакеты на этот порт.
tcp handshake
A — SYN — B
B — SYN-ACK — A
A — ACK — B
ARP протокол
Предназначен для определения MAC-адреса по известному IP-адресу.
порт форвардинг
-
техники обхода файрволов
-
port knocking
Технология Port Knocking осуществляет последовательность попыток подключения к закрытым портам. Даже не смотря на то, что все порты закрыты, вы можете отследить все попытки подключения в лог-файлах файрвола
Port Knocking состоит из двух программ:
— сервер (knockd)
— клиент (knock)
где хранятся пароли windows/linux
Windows: «Пуск»-«Панель управления»-«Учетные записи пользователей и семейная безопасность»-«Диспетчер учетных данных».
С:/Windows/System32/Config/SAM (+ SYSTEM, SECURITY)
Linux: /etc/shadow
привелигерованные учетные записи windows/linux
windows: Администратор
linux: root
как определить кто залогинен в системе
windows: psloggedon.exe, диспетчер задач
linux: w, last
как посмотреть какой процесс занял порт
Windows: netstat -ano
Linux: ss
sudo
«подменить и выполнить»— программа для системного администрирования UNIX-систем, позволяющая делегировать те или иные привилегированные ресурсы пользователям с ведением протокола работы. Основная идея — дать пользователям как можно меньше прав, при этом достаточных для решения поставленных задач.
права доступа к файлам
chmod u=rwx, g=rx, o=rx filename
опасные event id
675 или 4771 - Событие 675/4771 на контроллере домена указывает на неудачную попытку войти через Kerberos
676, или Failed 672 или 4768 - Событие 676/4768 логгируется для других типов неудачной аутентификации.
681 или Failed 680 или 4776 - Событие 681/4776 на контроллере домена указывает на неудачную попытку входа в систему через NTLM с доменной учетной записью.
642 или 4738 - Событие 642/4738 указывает на изменения в указанной учетной записи, такие как сброс пароля или активация деактивированной до этого учетной записи
632 или 4728; 636 или 4732; 660 или 4756 - Все три события указывают на то, что указанный пользователь был добавлен в определенную группу.
624 или 4720 - Была создана новая учетная запись пользователя
644 или 4740 - Учетная запись указанного пользователя была заблокирована после нескольких попыток входа
517 или 1102 - Указанный пользователь очистил журнал безопасности
windows типы входов - logon type
2 — Интерактивный (вход с клавиатуры или экрана системы)
3 — Сетевой (например, подключение к общей папке на этом компьютере из любого места в сети или IIS вход — Никогда не заходил 528 на Windows Server 2000 и выше. См. событие 540)
4 — Пакет (batch) (например, запланированная задача)
5 — Служба (Запуск службы)
7 — Разблокировка (например, необслуживаемая рабочая станция с защищенным паролем скринсейвером)
8 — NetworkCleartext (Вход с полномочиями (credentials), отправленными в виде простого текст. Часто обозначает вход в IIS с “базовой аутентификацией”)
9 — NewCredentials
10 — RemoteInteractive (Терминальные службы, Удаленный рабочий стол или удаленный помощник)
11 — CachedInteractive (вход с кешированными доменными полномочиями, например, вход на рабочую станцию, которая находится не в сети)
по какому сетевому протоколу работает net use
-
windows uac
Компонент операционных систем Microsoft Windows, впервые появившийся в Windows Vista. Этот компонент запрашивает подтверждение действий, требующих прав администратора, в целях защиты от несанкционированного использования компьютера.
Отличия windows XP от последующих версий
Центр поддержки Windows 7
Контроль учётных записей пользователей
Шифрование дисков при помощи BitLocker
Технология AppLocker для контроля используемого на компьютере ПО
Блокирование сетевых угроз
Защищённый доступ к ресурсам корпоративной сети
Защитник Windows
Утилиты для сетевой активности
Windows: TCPView, Procmon
Linux: Top
svchost.exe
-
фаззинг
Фаззинг – методика тестирования, при которой на вход программы подаются невалидные, непредусмотренные или случайные данные.
переполнение буфера
Явление, возникающее, когда компьютерная программа записывает данные за пределами выделенного в памятибуфера.
авторизация и аутентификация
Аутентификация - это проверка соответствия субъекта и того, за кого он пытается себя выдать, с помощью некой уникальной информации.
Авторизация - это проверка и определение полномочий на выполнение некоторых действий в соответствии с ранее выполненной аутентификацией.
pass-the-hash
Один из видов атаки повторного воспроизведения. Она позволяет атакующему авторизоваться на удалённом сервере, аутентификация на котором осуществляется с использованием протокола NTLM или LM.
reverse shell
A reverse shell is a type of shell in which the target machine communicates back to the attacking machine.
kerberos
Cетевой протокол аутентификации, который предлагает механизм взаимной аутентификации клиента и сервера перед установлением связи между ними, причём в протоколе учтён тот факт, что начальный обмен информацией между клиентом и сервером происходит в незащищенной среде, а передаваемые пакеты могут быть перехвачены и модифицированы.
шаги пентеста
- Разведка. Исследование, идентификация и выбор свой жертвы, часто используя публичные источники данных - соцсети, сайты конференций, списки рассылки и т.п.
- Вооружение. Оснащение вредоносным содержанием файла (например, PDF или MS Office) или иного контента, который должен быть прочтен/открыт жертвой.
- Доставка. Донесение вредоносного контента до жертвы, чаще всего используя для этого e-mail, web-сайты или USB-флешки.
- Заражение. Запуск вредоносного кода, используя имеющиеся на целевом компьютере уязвимости, с последующим его заражением.
- Инсталляция. Открытие удаленного доступа для незаметного управления и обновления вредоносного кода. В последнее время для этого чаще всего используется протокол DNS.
- Получение управления. Получение обновлений с новым функционалом извне, а также управляющих команд для достижения поставленных целей.
- Выполнение действий. Сбор и кража данных, шифрование файлов, перехват управления, подмена данных и другие задачи, которые могут стоять перед нарушителем.