我的渗透之道-信息认证

请注意,本文编写于 1332 天前,最后修改于 1272 天前,其中某些信息可能已经过时。

前言

这是一篇泛泛而谈的文章,因为某些原因,我不能写出详细的实例,所以文章充满着空想和空洞的语言。但同时这也是我在渗透环节之中的一些想法。也许对大佬而言这篇文章只是一篇水文,但是我还是想写出来,听取些大家的意见,同时也和诸位分享分享我是如何理解渗透这一个单词的。

目录

  • 信息安全的核心:身份认证
  • 渗透的本质:信息的收集,整理和利用
  • 建立一套攻击框架
  • 防守框架?

信息安全的核心:身份认证

一般而言,在渗透之前,基本都会有个明确的目标。例如获取到X资料,X信息,或者是达成其他XXX目的。在这一过程中,不可避免地,就会需要进入到某些系统,进入系统,进入系统的方法,无非就是正大光明的走进去,用你的账户信息建立一个可信的凭据。或者使用技术手段,绕过这个身份的验证。可以发现 ,无论是正面突破还是侧面绕过,在渗透这个环节中,无可避免且首当其冲的都会遇到各种身份认证,所以我有很大的信服力可以认为,信息安全的核心都是围绕这身份认证展开。

那么问题来了,系统是如何证明你是你的呢?在传统信息学当中,身份验证的定意如下

身份验证又称“验证”、“鉴权”,是指通过一定的手段,完成对用户身份的确认。身份验证的方法有很多,基本上可分为:基于共享密钥的身份验证、基于生物学特征的身份验证和基于公开密钥加密算法的身份验证。

所知(What you know):也就是通过只有你知道,而别人不知道的信息来验证你的身份。比如“天王盖地虎,宝塔镇河妖”这样的口谕,比如你的互联网邮箱的口令。在基于所知进行身份鉴别,除了平常要保管好“所知”之外,技术的关键还在于如何保证既能通过出示“所知”来证实自己身份,而这个“所知”又不会被窃取。

所有(What you have):也就是通过只有你才持有的东西来验证你的是身份。比如:你持有的信用卡、身份证等。基于“所有”进行身份鉴别,首先要避免“所有“的丢失,同时鉴别技术要能防止“所有”被假冒。

所是(What you are):也就是“天生具有”的东东来证实你的身份。比如指纹、人像、声纹、DNA等各种生物特征。基于“所是”进行身份鉴别,需特别关注一个问题,由于“所是”往往与生俱来,难以再造,因此,需特别防止在鉴别过程中泄露“所是”信息。

某种技术的复合运用,或者以上二者或三者的组合运用。

然而在互联网中,实际遇到的可能是第一种和第三种,基于生物学特征的验证倒是十分的少见,一般倒是出现在近源渗透中,比如这三种,互联网的认证还多出现了两种,一种是基于设备信任为基础的验证,还有一种是存在于非常多,但是同时又很容易被人忽视的,基于历史的身份验证,这一个待会儿再说,先说基于密码的

基于密码的身份验证

首先先纠正定义,根据百科:

登录网站、电子邮箱和银行取款时输入的“密码”其实严格来讲应该仅被称作“口令”,因为它不是本来意义上的“加密代码”,但是也可以称为秘密的号码。其主要限定于个别人理解(如一则电文)的符号系统。如密码电报、密码式打字机。

但是由于密码这个词已经被社会定义化,我们就继续按照密码这个意思来吧。

基于密码的身份验证,算是最简单的一种身份验证,通过提供系统预先信任的凭据来验证你是否是你,对应上文所提到的所知,即你知道别人不知道。因为他的简单,大多数时候我们遇到的都是这种,无论是在网站登陆,系统登陆,甚至是本地机器登陆中,在各种系统中第一步验证基本都是密码验证。

然而密码验证也存在一个问题,当所知不在局限于你所知。密码验证就变得相当薄弱。同时由于密码是静态策略,静态储存在服务器后端,这就导致了密码可以被猜解,枚举,撞裤。 因此,互联网也在此基础上发展出了其他奇奇怪怪的策略。一般都是基于密码配合其他验证方式。比如配合邮箱,本质也就是我有你没有。再或者是下文的手机。

基于物理设备

随着移动设备的兴起,手机也越来越成了人们离不开的工具,正因为如此,手机也成了作为验证环节的第二道,甚至第一道门栏。部分认证系统甚至已经抛弃了密码直接使用手机来认证,然而对于大部分来说第一道门栏依旧是密码验证。某种程度上来说,手机这一物件,已经成为了我们的一种"生物学特征",很难被伪造,同时又只在我们身上出现(因为基本不离开身体)。同时通信过程中又利用到了各种密钥加密算法保证通信安全(2G除外),所以手机确实是身份验证环节中的集大成体。

公钥认证

典型的比如SSH,https等等,这种算是理论意义上最安全的成品了,然而代价也随之而来,那就是用户使用成本很高,这里的成本只用户体验的丧失。

基于历史的身份

以上基本列举了平常我们登陆时会遇到的情况,然而在真实互联网情况下,还有一种情况时常被人忽略,因为使用这种情况比之前所有方法都要复杂繁琐(不论是对于攻击者还是对于原本真正的 用户),同很少认证系统会使用这个方案,但是反过来,使用这个认证方案的基本都是比较大的集团或者目标,所带来的价值也并不一般。

试想,如果普通用户在丢失了密码,手机全部丢失,那么。如何证明你是你呢?

对,也许你已经想到了,就是我们平常 所用的申诉渠道。这就涉及到社会工程学案例了,虽然本篇文章主要就是想讲述社会工程学相关。国内早期社会工程学的相关文章也确实是从申诉讲起。

对于一个系统来说,如果以上方法都失效了,还有什么方法能证明你是你呢?

我真正想说的

上面花了这么多篇幅讲了信息认证的原理,我主要的目的是在于,这一切,都围绕着信息展开

这涉及到了一个哲学定义,“如果把你所有的记忆转移到了另外一个载体身上 ,那么那个载体算是你吗?”,在信息安全中概念也是如此,密码也是信息的一部分。你掌握的信息越多,也就越接近你所拥有信息的目标。当你拥有的信息趋于目标无限多的时候,你在互联网上也就和目标就越相似。试想,如果一个人在互联网上知道你所有的账号密码发布消息甚至发帖时间地点手机型号,那么某种程度来说,他就是互联网上的“第二个你”,除了少几个“生物认证凭据”也就是手机,加密狗等东西,但是他也能用你丢失手机时候的方法代替你,就如同你丢失了手机时所做的都一样。

渗透的本质:信息的收集,整理和利用

当然,实际情况当中渗透者不太可能做到如此地步,但是我的目标也没必要做到这种地步(指完全掌控你的一切,除非他是偷窥狂或者他是特工)。一般而言,我们只需要达成围绕开头的“渗透目标”所做到而已,这就到了我们渗透环节中的信息的收集,整理和利用了。

剩余大纲:

不只个人信息,计算机资产也是信息{包含所有资产,所有资产的服务信息,服务版本信息,服务版本信息对应的漏洞信息}

渗透的本质就是多重信息的整理和利用最后达成目标。

重点在于如何利用。

关键tag:

鱼叉,水坑

定向布局

旁敲侧击

实在不行,聊天记录中的蛛丝马迹。

悄无声息的引导。

最后无奈方法,近源渗透

未完待续......太久没写文章都不太会写了,咕咕咕

添加新评论

已有 3 条评论

翻译:钓鱼好爽啊

这甚至不是一篇文章
啥时候填坑?

⑨BIE ⑨BIE 回复 @心灵博客

慢慢填,想说的东西太多但是自己表达能力又太差