黑客如何入侵
想必很多人會疑惑,一名黑客是如何做到順利入侵到系統裡肆意破壞和斂取資料,並消失的無影無蹤,下面是小編收集的一些相關資料:
第一步:尋找目標主機並分析目標主機
攻擊者首先要尋找目標主機並分析目標主機。在Internet上能真正標識主機的是IP地 址,域名是為了便於記憶主機的IP地址而另起的名字,只要利用域名和IP地址就可以順利地 找到目標主機。當然,知道了要攻擊目標的位置還是遠遠不夠的,還必須將主機的作業系統 型別及其所提供服務等資料作個全面的瞭解。此時,攻擊者們會使用一些掃描器工具,以試 圖獲取目標主機執行的是哪種作業系統的哪個版本,系統有哪些帳戶,開啟了哪些服務,以 及服務程式的版本等資料,為入侵作好充分的準備。
第二步:隱藏自已的位置
為了不在目的主機上留下自己的IP地址,防止被目的主機發現,老練的攻擊者都會盡 量通過“跳板”或“肉雞”展開攻擊。所謂“肉雞”通常是指,HACK實現通過後門程式控制 的傀儡主機,通過“肉雞”開展的掃描及攻擊,即便被發現也由於現場遺留環境的IP地址是 “肉雞”的地址而很難追查。
第三步:獲取帳號和密碼,登入主機
攻擊者要想入侵一臺主機,首先要有該主機的一個帳號和密碼,否則連登入都無法進 行。這樣常迫使他們先設法盜竊帳戶檔案,進行破解,從中獲取某使用者的帳戶和口令,再尋 覓合適時機以此身份進入主機。當然,利用某些工具或系統漏洞登入主機也是攻擊者常用的 一種技法。
第四步:獲得控制權
攻擊者們利用各種工具或系統漏洞進入目標主機系統獲得控制權之後,就會做兩件事 :清除記錄和留下後門。他會更改某些系統設定、在系統中置入特洛伊木馬或其他一些遠端 操縱程式,以便日後可以不被覺察地再次進入系統。此外,為了避免目標主機發現,清除日 志、刪除拷貝的檔案等手段來隱藏自己的蹤跡之後,攻擊者就開始下一步的行動。
第五步:竊取網路資源和特權
攻擊者找到攻擊目標後,會繼續下一步的攻擊。如:下載敏感資訊;竊取帳號密碼、 個人資料等。
網路攻擊的原理和手法是什麼?
1、從掃描開始
掃描往往是攻擊的前奏,通過掃描,蒐集目標主機的相關資訊,以期尋找目標主機的漏洞。 常見的掃描工具有X-scan、superscan、流光、X-port等。
在這些工具中,國產的X-scan與流光可算的上是兩個“利器”,這兩個工具不但具有相當快 的掃描速度和精確度***個人感覺X-scan在掃描速度上可能更快一點***,同時還是發起攻擊的 第一手選擇,當然在攻擊方面,流光更為強悍些。
除了常見個WWW***80***、FTP***21***、TELNET***23***等,查查十大高風險事件,我們就知道, 攻擊者通常還對下列埠很感興趣:
135:MS RPC,可以產生針對Windows 2000/XP RPC服務遠端拒絕服務攻擊,以及RPC溢位漏 洞,著名的“衝擊波”“震盪波”就是利用DCOM RPC感染裝置;
137~139:NetBIOS,WINDOWS系統通過這個埠提供檔案和列印共享;
445:Microsoft-ds,非常重要的埠,LSASS漏洞、RPC定位漏洞都在這裡出現;
1433:Microsoft SQL,後面會提到,SQL SERVER預設安裝時留下的空口令SA使用者可以讓攻 擊者為所欲為;
5632:PCANYWERE,一種遠端終端控制軟體;
3389:WINDOWS遠端終端服務
4899:RADMIN,一種遠端終端控制軟體
由此可見,沒有掃描,自然也就沒有攻擊,從安全的角度的來說,個人主機最安全的系統應 該算是WINDOWS98,由於WINDOWS98幾乎不開啟任何服務,自然也沒有任何開放埠,沒有端 口,對於這類系統攻擊的可能性就大大降低。當然,XP在打了SP2的補丁後,等於有了
個人主機入侵網路攻擊的步驟 第一步:隱藏自已的位置 為了不在目的主機上留下自己的IP地址,防止被目的主機發現,老練的攻擊者都會盡 量通過“跳板”或“肉雞”展開攻擊。所謂“肉雞”通常是指, ...
一個 基於狀態的個人防火牆,相對安全性也提高了很多。
2、攻擊開始
掃描到有開放的埠,下一步自然是針對相關埠發起攻擊,針對不同埠常見攻擊方式有 :
139/445:“永恆”的IPC$***未發現此漏洞***
說是“永恆”,主要是因為這種漏洞基本已經只能存在於記憶中了。
什麼是IPC,IPC是共享“命名管道”的資源,主要用於程式間的通訊。在遠端管理計算機和 檢視計算機的共享資源時使用。什麼是“空連線”,利用預設的IPC我們可以與目標主機建 立一個空的連線***無需使用者名稱與密碼***,而利用這個空的連線,我們就可以得目標主機上的 使用者列表。
得到使用者列表有什麼用?我們可以利用IPC,訪問共享資源,匯出使用者列表,並使用一些字 典工具,進行密碼探測。得到了使用者許可權後,我們可以利用IPC共享訪問使用者的資源。但所 謂的ipc漏洞ipc漏洞,其實並不是真正意義上的漏洞,WINDOWS設計初衷是為了方便管理員 的遠端管理而開放的遠端網路登陸功能,而且還打開了預設共享,即所有的邏輯盤***c,d,e ……***和系統目錄winnt或windows***admin***。所有的這些,初衷都是為了方便管理員的管理, 但好的初衷並不一定有好的收效,曾經在一段時間,IPC$已經成為了一種最流行的入侵方式 。
IPC$需要在NT/2000/XP下執行,通常如果掃描出目標開放了139或445埠,往往是目標開啟 IPC$的前兆,但如果目的主機關閉了IPC $連線共享,你依然無法建立連線,同樣如果管理 員設定禁止匯出使用者列表,你就算建立IPC$連線也無法看到對方的使用者列表。另外提醒一下 ,WINXP系統中,已經禁止了遠端使用者的訪問許可權,因此,如果對方是XP的作業系統,就別 費這個勁了。
如何防範ipc$入侵
1禁止空連線進行列舉***此操作並不能阻止空連線的建立,引自《解剖win2000下的空會話》***
首先執行regedit,找到如下組建 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的鍵值改為:00000001***如果設定為2的話,有一些問題會發生,比如一些WIN的服務出現 問題等等***
2禁止預設共享
1***察看本地共享資源
執行-cmd-輸入net share
2***刪除共享***每次輸入一個***
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete***如果有e,f,……可以繼續刪除***
3***停止server服務
net stop server /y ***重新啟動後server服務會重新開啟***
4***修改登錄檔
執行-regedit
server版:找到如下主鍵 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把 AutoShareServer***DWORD***的鍵值改為:00000000。
pro版:找到如下主鍵 [HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把 AutoShareWks***DWORD***的鍵值改為:00000000。
如果上面所說的主鍵不存在,就新建***右擊-新建-雙位元組值***一個主健再改鍵值。
3永久關閉ipc$和預設共享依賴的服務:lanmanserver即server服務
控制面板-管理工具-服務-找到server服務***右擊***-屬性-常規-啟動型別-已禁用
4安裝防火牆***選中相關設定***,或者埠過濾***濾掉139,445等***
5設定複雜密碼,防止通過ipc$窮舉密碼
除了IPC$,我們還可以利用例如SMBCRACK通過暴力猜解管理員口令,如果對方未打補丁,我 們還可以利用各種RPC漏洞***就是衝擊波、震盪波
用的那些漏洞***,通過各種溢位程式, 來得到許可權提升***原理和病毒感染的原理是一樣的***。
21:Serv-u入侵***未測試使用***
Serv-u是常用的FTP SERVER端軟體的一種,因為常用,所以被研究出的漏洞也不少,如果對 端開放了21埠,並且採用Seru-U來架站的話,可以檢視一下對端的版本。對5. 004及以下 系統,可用溢位入侵。***serv5004.exe***對5.1.0.0及以下系統,有一個本地提升許可權的漏 洞。***servlocal.exe***
Serv-U FTP Serve在設定使用者以後會把配置資訊儲存與ServUDaemon.ini檔案中。包括使用者 的許可權資訊和可訪問目錄資訊。本地受限使用者或者是遠端攻擊者只要能夠讀寫Serv-U FTP Serve的檔案目錄,就可以通過修改目錄中的ServUDaemon.ini檔案實現以Ftp程序在遠端、 本地系統上以FTP系統管理員許可權來執行任意命令。
80:曾經的神話“WEBDAV”***使用情況,成功溢位4臺主機,並登陸其中一臺,其他3臺的 IIS重啟***
微軟的IIS功能強大,但遺憾的是同樣漏洞多多,如果IIS不打補丁到SP3的話,那麼就有一 個著名的WEBDAV漏洞。
Webdav漏洞說明:
Microsoft Windows 2000 支援“全球資訊網分散式創作和版本控制 ***WebDAV***”協議。RFC 2518 中定義的 WebDAV 是超文字傳輸協議 ***HTTP*** 的一組擴充套件,為 Internet 上計算aIIS 服務 ***預設情況下在 LocalSystem 上下文中執行***的安全上下文中執行。 儘管 Microsoft 已 為此弱點提供了修補程式並建議客戶立即安裝該修補程式,但還是提供了其他的工具和預防 措施,客戶在評估該修補程式的影響和相容性時可以使用這些工具和措施來阻止此弱點被利 用。
可以使用掃描器:Webdavscan***是一個專門用於檢測IIS 5.0 伺服器是否提供了對WebDAV的 支援的掃描器***來查詢網路中存在WEBDAV漏洞的主機,並用溢位程式:wdx.exe來進行攻擊 當溢位成功後,就可以使用telnet或者是nc等連線到目標主機的7788埠。
如:telnet 127.0.0.1 7788
如果正常的話,將出現以下提示:
Microsoft Windows 2000 [Version 5.00.2195] ***C*** 版權所有 1985-2000 Microsoft Corp. C:\WINNT\system32>
OK!
如何有效防禦?
1. 搜尋登錄檔中的如下鍵:
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\W3SVC\Parameters
增加如下注冊表鍵值:
value name: DisableWebDAV
Data type: DWORD
value data: 1
2. 使用MS提供的專用補丁!
1433:Microsoft SQL的SA空口令***掃描到4臺,成功登陸其中3臺***
微軟的MSSQL7.0以下的版本在預設安裝時其SA***System Administrator***口令為空,所開埠 為1433,這個漏洞很早了,但直到現在我們依然可以掃描到很多空口令的SA。更為“搞笑” 的是,微軟為了能夠讓SQL管理員管理方便,還設計了一個xp_cmdshell來執行各種相關命令 。一個入侵者只需要使用一個MS SQL客戶端與SA口令為空的伺服器連線就可以獲得System的 許可權,並可以在目標主機上執行任意命令。
攻擊方式,利用“流光”或其他掃描工具可以掃描、破解SA口令,破解成功後可以使用SQL 客戶端***如SQLEXEC***連線,並獲得系統許可權。
解決辦法:
更改SA管理使用者口令;
刪除XP_CMDSHELL命令。***但並不保險,因為如果擁有SA許可權,還是可能恢復該命令的***
3389:3389輸入法漏洞***不太可能存在了,但可以猜解管理員使用者口令***
Microsoft Windows 2000 Server及以上版本在安裝伺服器時,其中有一項是超級終端服務 ,該服務可以使使用者通過圖形介面象管理本地計算機一樣控制遠端計算機***因此成為眾多攻 擊者的最愛***。該服務所開放的埠號為3389,是微軟為了方便使用者遠端管理而設。但是中 文Windows 2000存在有輸入漏洞,其漏洞就是使用者在登入Windows 2000時,利用輸入法的幫 助檔案可以獲得Administrators組許可權。
1、用終端客戶端程式進行連線;
2、按ctrl+shift調出全拼輸入法***其他似乎不行***,點滑鼠右鍵***如果其幫助選單發灰, 就趕快趕下家吧,人家打補丁了***,點幫助,點輸入法入門;
3、在\"選項\"選單上點右鍵--->跳轉到URL\",輸入:c:\\winnt\\system32\\cmd.exe.*** 如果不能確定NT系統目錄,則輸入:c:\\ 或d:\\ ……進行查詢確定***;
4、選擇\"儲存到磁碟\" 選擇目錄:c:\\inetpub\\s\\,因實際上是對方伺服器上檔案自身 的複製操作,所以這個過程很快就會完成;
5、開啟IE,輸入: dir 怎麼樣?有cmd.exe檔案了吧?這我們就 完成了第一步;
6、 echo net user guest /
7、 echo net user guest elise>>go.bat
8、 echo net localgroup administrators /add
guest>>go.bat
9、 type go.bat 看看我們的批檔案內容是否如下:
net user guest /
net user guest elise
net localgroup administrators /add guest
10、在\"選項\"選單上點右鍵--->跳轉到URL\",輸入:c:\\inetpub\\s\\go.bat --->在磁 盤當前位置執行;
11、OK,.這樣我們就激活了伺服器的geust帳戶,密碼為:elise,超級使用者!
注意事項:
當你用終端客戶端程式登陸到他的伺服器時,你的所有操作不會在他的機器上反應出來,但 如果他正打開了終端服務管理器,你就慘了了:***這時他能看到你所開啟的程序id、程式映 象,你的ip及機器名,並能發訊息給你!
1.在IE下,所擁有的只是iusr_machine許可權,因而,你不要設想去做越權的事情,如啟動 telnet、木馬等;
2.url的跳轉下,你將擁有超級使用者的許可權,好好利用吧 :-***
這個漏洞在WIN2000 SP1中已經修改,因此,實際網路中存在此漏洞的機器幾乎沒有,但是 ,據說紫光2.3版本、超級五筆的輸入法中又發現此漏洞。
解決方法
1.打補丁;
2.刪掉相關輸入法,用標準就可以;
3.服務中關掉:Terminal Services,服務名稱:TermService,對應程式名:system32 [url=];
如果對方已經修改了輸入法漏洞,那麼只能通過猜解目標管理員口令的方法來嘗試遠端登陸 。
5632/4899:PCANYWERE和RADMIN
這是兩種遠端控制軟體,使用方式與遠端終端訪問類似,都支援圖形化介面對遠端計算機進 行管理,設計的初衷是為了讓管理員能夠更方便的管理裝置,但這些軟體,特別是RADMIN, 可以設定其在安裝時,不出現任何提示,這種方式使RADMIN更多的被做為一種木馬使用。攻 擊者會注意掃描這些埠,因為一旦破解了相應口令就可以象操作本地計算機一樣控制目標 。
23:猜解ADSL MODEM口令
很多時候,掃描只能得到一個23埠,不要沮喪,因為對於個人主機而言,這往往是因為目 標主機採用了一個ADSL MODEM上網。一般使用者在使用ADSL MODEM時,往往未加設定,這時, 攻擊者往往可以利用ADSL MODEM的預設口令,登陸ADSL,一旦登陸成功,就有可能竊取ADSL 帳戶和口令,並可以檢視到內網的IP地址設定,並通過配置NAT對映將內網PC的相關埠映 射到公網上,然後對其進行各種破解、攻擊。
特洛伊木馬
掃描埠、通過各種方法獲得目標主機的使用者許可權之後,攻擊者往往利用得到的許可權上傳執 行一個“木馬”程式,以便能夠更方便的控制目標主機。
特洛伊木馬是一種或是直接由一個黑客,或是通過一個不令人起疑的使用者祕密安裝到目標系 統的程式。一旦安裝成功並取得管理員許可權,安裝此程式的人就可以直接遠端控制目標系統 。實際上,對於各種個人主機,在未開放埠和打全補丁後,最有效的攻擊方式還是“木馬 ”程式。攻擊者往往利用捆綁方式將木馬程式與一個普通的EXE檔案、JPG或其他正常檔案綁 定在一起,並利用“社會工程學”的方式,欺騙對方執行程式、檢視圖片等。在對方執行程 序、開啟圖片後,木馬程式就悄無聲息在使用者的PC上執行,並將使用者的一些相關資訊通過 EMAIL或其他方式傳送給攻擊者,而攻擊者則可以通過木馬程式實施對使用者電腦的控制,比 如控制檔案、登錄檔、鍵盤記錄甚至控制螢幕等。
在早期,木馬程式程式隱藏的並不深,通過檢視工作管理員就會發現系統記憶體在不明程式在 執行,並且木馬程式還會在使用者主機上監聽特定埠***如冰河的7626***,等待攻擊者的連線 。典型的早期木馬如BO、BO2000、SUBSERVEN、國產的經典木馬“冰河”等……這種方式的 木馬容易被發現,而且被攻擊目標也必須連線在公網上,因為客戶端是無法透過NAT、防火 牆連線到內網的使用者的。
反彈埠型別木馬,“廣外女生”木馬是國內出現最早反彈埠型別的木馬,這個木馬與傳 統的木馬不同,它在執行後會主動連線外網的攻擊者的相關埠,這種方法就避免了傳統木 馬無法控制內部使用者的弊端***因為防火牆一般不會對內部發出的資料做控制***。此外,“廣 外女生”還會自動殺掉相關防毒程式的程序。
傳統木馬在執行後會作為一個程序,使用者可以通過殺掉程序的方法關閉,而現在的木馬則會 將自己註冊一個系統服務,在系統啟動後自動執行。甚至會通過DLL注入,將自己隱藏在系 統服務身後。這樣使用者檢視程序的時候既看不到可疑程序,也看不到***……典型代表 “灰鴿子”“武漢男生”。
ASP木馬,典型代表“海陽頂端網木馬”。隨著ASP 技術的發展,網路上基於ASP技術開發的 網站越來越多,對ASP技術的支援可以說已經是windows系統IIS伺服器的一項基本功能。但 是基於ASP技術的木馬後門,也越來越多,而且功能也越來越強大。ASP程式本身是很多網站 提供一些互動和資料處理的程式,ASP木馬則是利用ASP語言編制的指令碼嵌入在網頁上,當用 戶瀏覽這些網頁時會自動執行相關ASP指令碼,被木馬感染,這種方式更加簡單和隱蔽,需要 注意的是,ASP木馬往往是依靠IE瀏覽器的一些漏洞來執行的,因此給IE打補丁是防範ASP木 馬的方法之一***當然並非萬能,還有一些木馬會利用IE的未知漏洞傳播***。
清除日誌
攻擊者在取得使用者許可權後,為了避免被發現,就要考慮清除使用者主機的相關日誌,因為日誌 系統往往會記錄攻擊者的相關攻擊過程和資訊。
Windows2000的日誌檔案通常有應用程式日誌、安全日誌、系統日誌、DNS伺服器日誌、FTP 日誌、WWW日誌等等,可能會根據伺服器所開啟的服務不同。
一般步驟如下:
1.清除IIS的日誌。
可不要小看IIS的日誌功能,它可以詳細的記錄下你的入侵全過程,如你用unicode入侵 時ie裡打的命令,和對80埠掃描時留下的痕跡。
1. 日誌的預設位置:%systemroot%\system32\logfiles\w3svc1\,預設每天一個日誌 。那我們就切換到這個目錄下吧,然後 del *.*。但由於w3svc服務還開著,日誌依然還在 。
方法一: 如有3389可以登入,那就用notepad開啟,按Ctrl+A 然後del吧。
方法二: net 命令
C:\>net stop w3svc
World Wide Web Publishing Service 服務正在停止。***可能會等很長的時間,也可能 不成功***
World Wide Web Publishing Service 服務已成功停止。
選擇先讓w3svc停止,再清除日誌,不要忘了再重新開啟w3svc服務。
C:\>net start w3svc
2. 清除ftp日誌
FTP日誌預設位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,預設每天一個日 志,清除方法同上。
3. 清除Scheduler日誌
Scheduler服務日誌預設位置:%systemroot%\schedlgu.txt。清除方法同上。
4. 應用程式日誌、安全日誌、系統日誌、DNS日誌預設位置:%systemroot%\sys tem32\config 。清除方法同上。
注意以上三個目錄可能不在上面的位置,那是因為管理員做了修改。可以讀取登錄檔值 得到他們的位置:
應用程式日誌,安全日誌,系統日誌,DNS伺服器日誌,它們這些LOG檔案在登錄檔中的
HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog
Schedluler服務日誌在登錄檔中的
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchedulingAgent
5.清除安全日誌和系統日誌了,守護這些日誌的服務是Event Log,試著停掉它!
D:\SERVER\system32\LogFiles\W3SVC1>net stop eventlog
這項服務無法接受請求的 "暫停" 或 "停止" 操作。沒辦法,它是關鍵服務。如果不用 第三方工具,在命令列上根本沒有刪除安全日誌和系統日誌的可能!開啟“控制面板”的“ 管理工具”中的“事件檢視器”,在選單的“操作”項有一個名為“連線到另一臺計算機” 的選單,點選它然後輸入遠端計算機的IP,然後選擇遠端計算機的安全性日誌,右鍵選擇它 的屬性,點選屬性裡的“清除日誌”按鈕,同樣的方法去清除系統日誌!
6.上面大部分重要的日誌你都已經清除了。然後要做的就是以防萬一還有遺漏的了。
del以下的一些檔案:
\winnt\*.log
system32下
\logfiles\*.*
\dtclog\*.*
\config\*.evt
\*.log
\*.txt