网络攻防演练文档设计_图文

1、 网络攻防演练文档设计目录文献参考:<<暗战亮剑黑客渗透与防御全程实录 >>1.1 Web应用程序渗透前的信息收集 . 2 1.1.1了解目标主机和网络的一些基本的安全信息 . . 2 1.1.2确定目标的域名和相关的网络信息 . . 2 1.1.3目标主机扫描测试 . . 3 1.2漏洞利用代码的收集 . . 3 1.2.1脚本漏洞利用代码的收集 . . 3 1.2.2 操作系统漏洞利用代码的获取 . . 4 1.3 MSSQL下的高级反弹注射技术 . 4 1.3.1opendatasource 函数语法 . 5 1.3.2搭建本地 MSSQL 攻防环境 . 6 1.

2、3.3反弹注射之获取机密信息 . . 6 1.4黑客致命绝招之突破 ARP 防火墙 . 9 1.4.1Cain 配合 Ncpharp 挑战 Antiarp 防火墙 . . 9 1.5黑客反取证之痕迹擦除 . . 11 1.5.1操作系统常见日志 . . 11 1.5.2系统日志的擦除 . . 141.1 Web应用程序渗透前的信息收集脚本渗透是如今比较流行的技术,运用该技术可轻松击溃一个 Web 站点。不同安全级 别的站点, 渗透的方式也是不一样的, 其中涉及许多高级技巧。 这些技巧都是黑客们的看家 本领, 一般是不愿意外传的。 这里笔者向读者朋友揭秘高级脚本渗透技术的秘籍, 重点学习 高手们

3、的渗透思路。1.1.1了解目标主机和网络的一些基本的安全信息踩点可以了解目标主机和网络的一些基本的安全信息,主要有:(1 . 管理员联系信息,电话号,传真号 ,QQ 号 , 电子邮件等。(2 .IP 地址范围(3 .DNS 服务器(4 . 邮件服务器1.1.2确定目标的域名和相关的网络信息Whois 查询,通过 Whois 数据库查询可以得到以下的信息:(1 . 注册机构:显示相关的注册信息和相关的 Whois 服务器(2 . 机构本身:显示与某个特定机构相关的所有信息(3 . 域名:显示与某个特定域名相关的所有信息(4 . 网络:显示与某个特定网络或单个 IP 地址相关的所有信息(5 . 联

4、系点 :显示与某位特定人员相关的所有信息1.1.3目标主机扫描测试透过扫描可以获取目标主机的安全弱点以及漏洞信息,主要有:(1 . 端口扫描,透过端口开放情况可大致判断提供的服务信息。(2 . 漏洞扫描,可以获取目标主机存在的漏洞,比如溢出漏洞。(3 . 密码破解,扫描工具可轻松的检测出当前系统的弱口令等信息。(4 . 软件漏洞,通过扫描也可发现一些软件的漏洞,利用第三方软件漏洞实现系统攻击是 目前比较流行的攻击手法。1.2漏洞利用代码的收集1.2.1脚本漏洞利用代码的收集在国内很多公司 , 企业 , 教育 , 政府部门的网站程序都是使用网上公开的商业程序或者免 费整站程序,一旦这些整站程序出

5、现安全问题,那么直接导致使用者的 Web 系统被攻击或 者被渗透。虽然利用现成的整站程序构建网站系统成本较低,但是安全风险是无法回避的。 在 Web 渗透中,黑客们常常遇到各种各样的整站程序,不同的整站程序会出现不同的安全 漏洞,掌握这些安全漏洞是很有必要的。在渗透需要的时候,这些漏洞就会起到很大的作用。根据笔者的渗透经验来谈,收集 一些 Web 程序敏感路径 , 源码 , 漏洞利用工具 ,0DAY 程序等是非常重要的,不仅可以充实你的 “漏洞库” ,而且可以对这些漏洞原理进行分析,总结其中的精髓,做到融会贯通。这里是 笔者近期收集的一些脚本漏洞利用程序,如图 1-1所示 图 1-1 漏洞利用

6、程序同时国内比较出名的脚本程序漏洞公布站点 Sebug ,收集了海量国内外整站程序的漏洞 信息,国内大多数整站程序漏洞信息在这里基本都能找到。其官方地址为:如图 1-2所示 图 1-2 sebug 网站1.2.2 操作系统漏洞利用代码的获取当然脚本漏洞利用程序只对存在脚本漏洞的 Web 站点构成直接威胁, 而对于渗透操作系 统则需要更为高级的漏洞利用程序。对操作系统而言,最为严重的莫过于远程溢出漏洞了, 收集此类漏洞利用程序同样也变得异常重要。 一般来说国外黑客站点会第一时间发布此类漏 洞信息以及漏洞利用程序,关于获取这类漏洞信息可查看如下站点:其中黑客站点 milw0rm 通常是国外 0DA

7、Y 程序的第一发布站点,如图 1-3所示。 图 1-3 miw0rm官网1.3 MSSQL下的高级反弹注射技术MSSQL 注射攻击是最为复杂的数据库攻击技术,由于该数据库功能十分强大,存储过程 以及函数语句十分丰富,这些灵活的语句造就了新颖独特的攻击思路。黑客们深入钻研 MSSQL 数据库的精髓,将数据库攻击发挥得淋漓尽致。本节笔者将继续给读者朋友讲解MSSQL 数据库的一些高级攻击技术,将 SQL 数据库渗透发挥到极致。在尝试进行注射攻击 的时候,难免会遇到会这样或者那样的问题。比如明明是 SQL 的注射点却无法进行注射 , 注 射工具猜解的速度异常缓慢 , 错误提示信息关闭 , 无法返回注

8、射结果等,这些都是在注射攻击 中常常遇到的问题。 为了解决以上这些疑难杂症, 比较好的解决方法就是使用反弹注射技术, 而反弹注射技术则需要依靠 opendatasource 函数支持。1.3.1opendatasource 函数语法学习任何技术,了解它的原理是非常重要的。只要把原理弄明白了,才能更好的研究 和利用它。 OPENDATASOURCE 函数可以在能够使用链接服务器名的相同 Transact-SQL 语法 位置中使用。因此,就可以将 OPENDATASOURCE 用作四部分名称的第一部分,该名称指的 是 SELECT 、 INSERT 、 UPDATE 或 DELETE 语句中的表或

9、视图的名称; 或者指的是 EXECUTE 语 句中的远程存储过程。当执行远程存储过程时, OPENDATASOURCE 应该指的是另一个 SQL Server 。 OPENDATASOURCE 不接受参数变量。 与 OPENROWSET 函数类似, OPENDATASOURCE 应该只引用那些不经常访问的 OLE DB 数据源。 对于访问次数稍多的任何数据源, 请为它们 定义链接的服务器。无论 OPENDATASOURCE 还是 OPENROWSET 都不能提供链接的服务器 定义的全部功能,例如,安全管理以及查询目录信息的能力。每次调用 OPENDATASOURCE 关于 OPENDATASO

10、URCE 函数更加详细的信息,请参考“ SQL SERVER联机丛书” 。为了比较形象的说明以上函数的用法, 这里给出一个示例。 该示例用于访问来自某个表的数 为了便于读者朋友理解 OPENDATASOURCE 函数的功能, 笔者使用较为通俗的语言来说明:“ 使 用OPENDATASOURCE 函数将当前数据库中查询的结果发送到另一数据库服务器中” 。 这样应 该比较容易理解。1.3.2搭建本地 MSSQL 攻防环境由于国家法律的要求,本节内容将采用虚拟机本地模拟渗透环境进行演示(注意:本地 模拟和实际操作步骤完全一样 。本地服务器版本均使用 WindowS 2003 SP2,除了构造带注 射

11、漏洞的 web 服务器外,另外还需要在一主机上安装 SQL server2000数据库环境。具体环 境如下:漏洞主机环境:WindowS 2003 SP2+IIS6.0+ASP+ SQL server2000漏洞主机 IP 地址:08攻击者主机环境:WindowS 2003 SP2+ SQL server2000攻击者主机 IP 地址:03关于如何构造有漏洞的注射环境, 已经做过详细介绍, 不熟悉的朋友可以参考注射点伪造渗 以上漏洞链接采用 DB_OWNER权限账户连接数据库。1.3.3反弹注射之获取机密信息在 MSSQL 数据库的渗透中, 若想快速

12、获得 webshell , 采用差异备份的方式无疑是最快的, 而如何获取 Web 绝对路径是一个关键,也是一个难点。对于获取 Web 绝对路径,已经介绍 过很多种方法。在这里笔者将补充一种使用反弹技术获得绝对路径的方法。1. 首先应该在攻击者主机的 SQL server 2000中建立一个具有管理权限的数据库账户, 具体命 令如下: 图 1-4 执行添加用户命令2. 使用建立的 SQL 账户登陆数据库, 这里使用查询分析器进行连接。 利用 SQL 语句建立一个 查询分析器中执行语句,如图 1-5所示 图 1-5 创建数据库表操作3. 现在将视线转移到注射点(漏洞主机上来,同样使用 SQL 语句

13、在注射点上建立一个与攻 击者数据库中temp 表一模一样的表段,以便稍后存放数据。在注射点执行的命令如下 : 图 1-6 创建 temp 表 这里我们使用查询分析器进行执行,执行语句如下: 如图 1-7所示 图 1-7 执行语句现在该进行第二步了, 这一步尤为关键。 利用 OPENDATASOURCE 函数将 temp 表中存放的数 图 1-8 发送 temp 表数据4. 数据成功发送后,我们需要查看本地数据库中的 temp 表是否接收到了数据。在查询分析 器中执行如下语句: 成功得到数据,如图 1-9所示 图 1-9 得到机密数据通过以上的反复操作可找到 Web 的绝对路径,记得在操作之前先

14、清空 temp 表中的数据。 1.4黑客致命绝招之突破 ARP 防火墙内网安全问题是一个极为严峻的问题,渗透者的各类攻击技法层出不穷,难以防范,黑 客时刻对企业网络安全进行严峻的考验。 随着 Arp 病毒的大规模爆发至今, 企业一直饱受着 Arp 病毒的无情摧残, 所以为了加固局域网安全。 企业都会选择一些 ARP 防火墙作为自己的 防护遁甲,经过这样简单的安全加固,能够防御大多数的 ARP 攻击,防御效率明显提高。 但是网络攻击与安全防御都是对立发展的, 相互推动。 网络没有绝对的安全, 黑客们已经找 到如何突破 ARP 防火墙的高级技术了,这一高级技术使得 ARP 防火墙形同虚设。下面笔者

15、 以实例的方式详细讲解如何在内网渗透中对 ARP 防火墙的突破。1.4.1Cain 配合 Ncpharp 挑战 Antiarp 防火墙对于渗透软件软件防火墙,其实可以通过增加 ARP 包的发送速度,数据包的发送速度一 定要比 arp 防火墙的速度快,告诉网关攻击者是被欺骗的主机 ip 地址和 Mac 地址,由于特 定发包工具的速度比 arp 防火墙快, 网关应对攻击者的响应包要多一些, 这样自然就把我当 成被欺骗的主机了。对于特定发包工具,笔者建议使用 NCPH 工作室出品的【 ncpharp 】 。关 于测试的环境,这里可以沿用前面配置的环境。首先开启 Antiarp 防火墙,将【防御状态】

16、 调整至【警戒 -待命】 。如图 1-10所示 图 1-10将【防御状态】调整至【警戒 -待命】使用 Cain 对目标主机 06进行 ARP 嗅探测试,如图 1-11所示 图 1-11 ARP嗅探测试本地使用账户以及密码成功登陆 FTP 服务器,查看 Antiarp 防火墙状态。发现已经拦截到了 多次 ARP 攻击。如图 1-12所示 图 1-12 拦截到攻击数据包查看 CAIN 嗅探状态,结果没有嗅探到登陆的 FTP 密码。如图 1-13所示 图 1-13 无任何嗅探数据要想成功 ARP 嗅探必须配合一款特定的发包工具,由于特定工具发包速度较快,笔者建议 单独用一台计算

17、机运行发包工具。 在使用发包工具之前, 需要配置一些基本信息。 所需基本 信息如下:网关 ip 地址以及 MAC 地址:-00-25-86-3d-9b-96目标主机 ip 地址以及 MAC 地址:06-00-0C-29-54-7E-BB选择发包的网卡【 Ncpharp 】在使用前请确保安装了【 WinPcap 】软件,否则无法运行。 【 Ncpharp 】基本配 置情况,如图 1-14所示 图 1-14 【 Ncpharp 】基本配置现在开启 Cain 对目标进行 ARP 嗅探测试,发现能够成功嗅探到 FTP 密码。如图 1-15所示 图 1-15

18、嗅探到 FTP 明文数据包1.5黑客反取证之痕迹擦除一个成功的渗透者不仅具有高超的入侵技术 , 而且还需要具有良好的反侦察意识, 在完成 对特定目标的渗透后能做到全身而退,不留下任何痕迹,做到“来无影,去无踪” 。 同时在 撤退的过程中需要做大量的后期工作, 清理掉在系统中所留下的一切痕迹, 如果这个过程按 照技术分类来划分的话, 它属于计算机反取证技术。 计算机反取证就是删除或者隐藏入侵证 据使取证工作无效。 目前的计算机反取证技术主要有数据擦除、数据隐藏、 数据加密等。数 据擦除是最有效的反取证方法, 它是指清除所有可能的证据 (包括索引节点、 目录文件和数 据块中的原始数据等 ,原始数据

19、不存在了,取证工作自然无法进行,严重阻碍网络警察的 犯罪取证。 同时对于计算机取证人员来说, 研究反取证技术有特别的意义, 不仅可以了解入 侵者有哪些常用手段用来掩盖甚至擦除入侵痕迹, 而且可以在这些手段的基础上, 开发出更 加有效、实用、针对性极强的计算机取证工具。1.5.1操作系统常见日志日志文件是操作系统比较特别的文件, 默默地记录着系统发生的一切事件。 这些普通的日 志文件平常毫不起眼, 显得微不足道。 但是一旦发生安全事件, 这些日志就成了最宝贵的数 据, 计算机取证人员会提取其中的关键日志进行分析, 分析攻击者在系统中进行的各项操作, 最后将这些信息整理出来成为控告攻击者最有说服力

20、的犯罪证据。 由此可以看出日志在计算 机安全中显示了无可替代的作用。如果要擦除这些痕迹,攻击者必须熟悉操作系统中的日志相关的知识。1. 系统自带日志系统自带日志也是非常重要的日志, 计算机取证人员通常会从这里下手提取一些数据。 系统自带日志分为三类日志,具体如下 :应用程序日志:记录了重要的应用程序产生的错误和成功信息。安全日志:主要记录着 win2k 操作系统的组件所产生的日志。系统日志:主要记录审核策略的日志。关于如何查看系统日志,可依次作如下操作:“开始 -设置控制面板 -管理工具 -事 件查看器” 。如图 1-16所示 图 1-16事件查看器比如我们想查看是否被非法攻击者远程登陆过系统

21、, 可在事件查看器 (本地 列表中选择 “安 全性” ,系统就会详细显示所有的登陆事件。如图 1-17所示 图 1-17 详细显示所有的登陆事件可以根据时间或者登陆用户来判断用户登陆的事件,事件中显示了一个名叫 hacker$的用户 尝试登陆过系统,有经验的管理一看就知道有猫腻。选择此账户,右键选择“属性”可查看 更多关于此账户的信息。如图 1-18所示 图 1-18 查看更多关于此账户的信息事 件 详细 信息 显示 :“该 用 户已 经成 功登 陆,并 且 登陆 服务 器所 使用的 IP 地址 为 04。 ”这可以确定系统被入侵了,而且知道攻击者的 IP 地址,如果攻击

22、者使用的 真实的 IP 地址的话,那么他很危险,因为他忽略了系统日志对他构成的威胁。2. 服务器日志除了以上系统自带的基本日志外,服务器日志也是相当的重要,其中详细记录了网络 用户对服务器资源的访问事件。服务器日志主要分为三类日志,具体如下 :IIS 日志:用于记录网络用户活动的细节信息。FTP 日志:用于记录着所有用户的访问信息。DNS 日志:用于记录 DNS 活动相关的事件信息。目前网络上普遍使用微软的 IIS 作为网站的服务器,通常 Web 服务器最容易受到脚本黑客 们的袭击, IIS 日志显得格外重要,其中详细记录了网络用户的活动信息。一般网站被黑客 入侵,可通过分析 IIS 日志,找

23、出攻击者的 IP 地址。关于如何查看 IIS 日志,可依次作如下 操作:开始 -设置控制面板 -管理工具 - Internet 信息服务 (IIS管理器 -网站属性 -启用日 志记录 -属性 如图 1-19所示 图 1-19 日志记录属性其中包含了日志的记录任务和日志的存放路径,打开该路径下的 W3SVC1目录,可看到 IIS 相关的日志信息。 其中日志默认按天进行记录的, 比如我们要查看今天的日志, 可直接双击 日志文件“ ex090711.log ” (注意:今天是 2009年 7月 11日 ,日志记录了详细的访问信息。 如图 1-20所示 图 1-20日志记录了详细的访问信息由图 1-2

24、0可知一陌生 IP 为 17的用户向服务器发送过大量的请求, 其中请求的 页面都是网站的敏感路径, 而且发送的请求速度非常快, 手工是无法达到这样的速度, 笔者 可以断定攻击者使用的黑客扫描器进行探测的。 由以上信息可以判断服务器在今天曾遭受过 黑客的攻击。如果没有 IIS 日志记录,取证人员很难判断攻击者所处的位置。对于 FTP 日志 和 DNS 日志的查看都是大同小异的,这里不再介绍。3. 系统防火墙日志通常防火墙是拦截外边攻击的第一道屏障,防火墙不仅可以阻挡攻击,而且对外部计 算机尝试攻击的事件会详细记录在案,此工作通常交给日志来做,由此可见日志同样 扮演了相当

25、重要的作用。如何查看防火墙日志,可依次作如下操作:网上邻居 -属性 -更改 WindowS 防火墙设置 -选择“高级”选项卡 -安全日志记录 -设置 如图 1-21所示 图 1-21 日志设置记录选项中记录被丢弃的数据包和成功的连接的数据包,以及防火墙日志的存放路径 和文件大小限制等信息。防火墙安全日志使用的格式为 W3C 扩展日志文件格式,可直 接使用记事本打开。如图 1-22所示 图 1-22 打开防火墙日志文件一般防火墙的日志容量比较大,笔者建议使用专业的日志分析软件进行分析。4. 系统终端登陆日志当用户使用远程终端功能登陆远程服务器,在登陆列表都会显示登陆过的计算机 IP 地 址信息,而且在这里是无法进行删除的。这些登陆日志没有存储在具体的文件中,该 记录直接保存在注册表系统中的。 如图 1-23所示 图 1-23 终端用户登录记录1.5.2系统日志的擦除通过前边的学习,相信读者朋友对系统常见日志有了清晰地认识,明白他们在系统中所肩负的重任。我们知道数据擦除是最有效的反取证技术,通过对原始数据的销毁, 取证工作自然是无法进行。下面将详细介绍以上常见日志的清除方法以及技巧。 1. 系统常见日志以及服务器日