第三章 黑客攻防剖析(xin)-2

第三章黑客攻防剖析1/15/20231电子科技大学成都学院3.1“黑客”与“骇客”3.2黑客攻击分类3.3基于协议的攻击手法与防范3.4操作系统漏洞攻击3.5针对IIS漏洞攻击3.6Web应用漏洞3.7黑客攻击的思路3.8黑客攻击防范3.9互联网“黑色产业链”揭秘1/15/20232电子科技大学成都学院3.3.3TCP协议漏洞漏洞描述三次握手过程请求端A发送一个初始序号ISNa的SYN报文；被请求端B收到A的SYN报文后，发送给A自己的初始序列号ISNb，同时将ISNa+1作为确认的SYN+ACK报文；A对SYN+ACK进行确认，同时将ISNa+1，ISNb+1发送给B，TCP连接完成。漏洞三次握手未完成时，被请求端B一般会重试，并等待一段时间，常会被用来进行DOS、Land和SYNFlood攻击。1/15/20233电子科技大学成都学院攻击实现在SYNFlood中，黑客机器向受害主机发送大量伪造源地址的TCPSYN报文，受害主机分配必要的资源，然后向源地址返回SYN+ACK包，并等待源端返回ACK包。源地址是伪造的，所以不会返回ACK报文，受害主机继续发送SYN+ACK，并将半连接放入端口的积压队列中。由于端口的半连接队列的长度有限，若不断向受害主机发送大量的SYN报文，半连接队列很快被填满，服务器拒绝新的连接，将导致端口无法响应其他连接请求。受害主机的资源耗尽。1/15/20234电子科技大学成都学院防御方法通过防火墙、路由器等过滤网关防护SYNcookie技术——实现了无状态的握手，避免了SYNFlood的资源消耗。基于监控的源地址状态技术——对每一个连接服务器的IP地址的状态进行监控，主动采取避免SYNFlood攻击的影响。缩短SYNTimeout时间1/15/20235电子科技大学成都学院通过加固TCP/IP协议栈防范SynAttackProtect机制为防范SYN攻击，win2000和Win2003系统的tcp/ip协议栈内嵌了SynAttackProtect机制。SynAttackProtect机制是通过关闭某些socket选项，增加额外的连接指示和减少超时时间，使系统能处理更多的SYN连接，以达到防范SYN攻击的目的。默认情况下，Win2000操作系统并不支持SynAttackProtect保护机制，需要在注册表以下位置增加SynAttackProtect键值：HKLM\SYSTEM\CurrentControlSet\Services\Tcpip\Parameters

1/15/20236电子科技大学成都学院3.4操作系统漏洞攻击3.4.1输入法漏洞1.win2000漏洞描述SP2补丁安装之前，默认安装的情况下，win2000中的简体中文输入法不能正确检测当前的状态，导致在系统登录界面中提供了不应有的功能。别有用心者可以通过直接操作该系统的登录界面得到当前系统权限，运行其选择的代码，更改系统配置，新建用户，添加或删除系统服务，添加、更改或删除数据，或执行其他非法操作。1/15/20237电子科技大学成都学院攻击实现（1）进入Windows2000登录界面，将光标放至【用户名】文本框中。（2）然后按Ctrl+shift快捷键调出全拼输入法状态。1/15/20238电子科技大学成都学院（3）鼠标指针移到微软标志处单击右键，便弹出一个关于全拼输入法的快捷菜单。（4）选择【帮助】→【操作指南】命令。1/15/20239电子科技大学成都学院（5）打开【输入法操作指南】窗口，在基本操作目录下选择一项帮助目录后，单击鼠标右键，从弹出的快捷菜单中选择【跳至URL】命令。

1/15/202310电子科技大学成都学院（6）在【跳至URL】的【跳至该URL】中输入【e:\】，单击【确定】按钮。1/15/202311电子科技大学成都学院（7）此时可以列出E盘中的文件夹：也可以在【跳至URL】中输入C:\、D:\等，可以列出目标服务器目录，同时还具有对每一个文件的完全控制权限。

1/15/202312电子科技大学成都学院利用“net.exe”激活被禁止使用的guest账户在“跳转到URL”中输入：c:\winnt\system32在该目录下找到“net.exe”；为“net.exe”创建一个快捷方式；右键点击该快捷方式，在“属性”—“目标”—c:\winnt\system32\net.exe后面空一格，填入“userguest/active:yes”。点击“确定”运行该快捷方式。（虽然看不到运行状态，但guest用户已被激活。）1/15/202313电子科技大学成都学院利用“net.exe”将guest变为系统管理员在“跳转到URL”中输入：c:\winnt\system32在该目录下找到“net.exe”；为“net.exe”创建一个快捷方式；在“属性”—“目标”—c:\winnt\system32\net.exe后面空一格，填入localgroupadministratorsguest/add；再次登录终端服务器，以“guest”身份进入，此时guest已是系统管理员，已具备一切可执行权及一切操作权限。1/15/202314电子科技大学成都学院远程攻击基于3389端口结合输入法漏洞入侵

通过3389入侵系统，是入侵者的最爱，因为可以通过图形界面，就像操作本地计算机一样来控制远程计算机。由于MicrosoftWindows2000Server在安装服务器时，其中有一项是超级终端服务。该服务所开放的端口号为3389，是微软为了方便用户远程管理而设。中文Windows2000存在有输入漏洞，其漏洞就是用户在登录Windows2000时，利用输入法的帮助文件可以获得Administrators组权限。

1/15/202315电子科技大学成都学院攻击防范打补丁删除输入法帮助文件和多余的输入法，对应的帮助文件有：Windowsime.exe——输入法操作指南Windowssp.exe——双拼输入法帮助Windowszm.exe——郑码输入法帮助防止net.exe被恶意利用，可以考虑将其移出目录（C:\winnt\system32），或者改名。1/15/202316电子科技大学成都学院2.WindowsVista漏洞触发条件条件1：6.0版本的《极点五笔输入法》输入法（最新的版本已经填补了漏洞）。此外，Google输入法最初的1.0版本也存在此漏洞。条件2：系统处于锁定状态。当Vista启动到登录界面时，是不会触发漏洞的，只有当系统处于锁定状态时，漏洞才会被激活。1/15/202317电子科技大学成都学院攻击实现Step1：假设当前登录界面处于锁定状态下，点击界面左下角键盘状的输入法选择按钮，在出现的菜单中选择《极点五笔输入法》。Step2：点击一下登录界面的空白处，这时会出现《极点五笔输入法》的输入法状态条，在上面点右键，在出现的菜单中依次选择“输入法设置→设置另存为”。Step3：在登录界面会弹出一个文件保存对话框，在该对话框中可以浏览硬盘中的任意文件，包括创建和删除文件。Step4：在对话框中操作文件很不方便，况且并不能算是真正的入侵，因此可以利用漏洞创建一个具有管理员权限的账户，用这个账户进入系统。1/15/202318电子科技大学成都学院 在对话框的地址栏中输入“c：\windows\system32\net.exeuserhacker123456/add”，并点击“前进”按钮。系统中则会创建一个名为hacker，密码为123456的普通账户。Step5：在地址栏中输入“netlocalgroupadministratorshacker/add”并回车，则提升为系统管理员。Step6：关闭当前的对话框窗口，点击登录界面上的“切换用户”按钮。登录界面上则会出现hacker账户。1/15/202319电子科技大学成都学院攻击防范方法1

升级《极点五笔输入法》的版本，是最简单也是最有效的方法。方法2： 不对当前用户进行“锁定”操作，或用“切换用户”代替。1/15/202320电子科技大学成都学院3.4.2IPC$攻击IPC$(InternetProcessConnection)是共享“命名管道”的资源，为了让进程间通信而开放的命名管道，通过提供可信任的用户名和口令，连接双方可以建立安全的通道并以此通道进行加密数据的交换，从而实现对远程计算机的访问。IPC$是NT/2000的一项新功能，它有一个特点，即在同一时间内，两个IP之间只允许建立一个连接。NT/2000在提供了IPC$功能的同时，在初次安装系统时还打开了默认共享，即所有的逻辑共享(c$,d$,e$……)和系统目录winnt

或windows(admin$)共享。所有的这些，微软的初衷都是为了方便管理员的管理，但在有意无意中，导致了系统安全性的降低。1/15/202321电子科技大学成都学院会话建立过程安全会话在WindowsNT4.0中使用挑战响应协议与远程机器建立会话，建立成功的会话将成为一个安全隧道，建立双方通过它互通信息，过程如下：1）会话请求者（客户）向会话接收者（服务器）传送一个数据包，请求安全隧道的建立；2）服务器产生一个随机的64位数（实现挑战）传送回客户；3）客户取得这个由服务器产生的64位数，用试图建立会话的帐号的口令打乱它，将结果返回到服务器（实现响应）；1/15/202322电子科技大学成都学院4）服务器接受响应后发送给本地安全验证（LSA），LSA通过使用该用户正确的口令来核实响应以便确认请求者身份。如果请求者的帐号是服务器的本地帐号，核实本地发生；如果请求的帐号是一个域的帐号，响应传送到域控制器去核实。当对挑战的响应核实为正确后，一个访问令牌产生，然后传送给客户。客户使用这个访问令牌连接到服务器上的资源直到建议的会话被终止。1/15/202323电子科技大学成都学院空会话在没有信任的情况下与服务器建立的会话（即未提供用户名与密码）。根据WIN2000的访问控制模型，空会话的建立同样需要提供一个令牌，但令牌中不包含用户信息（因为空会话在建立过程中并没有经过用户信息的认证），因此这个会话不能让系统间发送加密信息。然而这并不表示空会话的令牌中不包含安全标识符SID，对于空会话，LSA提供的令牌的SID是S-1-5-7，用户名是：ANONYMOUSLOGON。这个访问令牌包含伪装的组：Everyone和Network。在安全策略的限制下，这个空会话将被授权访问到上面两个组有权访问到的一切信息。1/15/202324电子科技大学成都学院空会话可以作什么？对于NT，在默认安全设置下，借助空连接可以列举目标主机上的用户和共享，访问everyone权限的共享，访问小部分注册表等，并没有什么太大的利用价值；对2000作用更小，因为在Windows2000和以后版本中默认只有管理员和备份操作员有权从网络访问到注册表，而且实现起来也不方便，需借助工具。从一次完整的ipc$入侵来看，空会话是一个不可缺少的跳板。1/15/202325电子科技大学成都学院一些具体命令1.建立一个空会话注意：需要目标开放ipc$命令：netuse\\ip\ipc$""/user:""前边引号“”内为空密码，后边user:""引号中为空用户名注意：上面的命令包括四个空格，net与use中间有一个空格，use后面一个，密码左右各一个空格。

1/15/202326电子科技大学成都学院2查看远程主机的共享资源命令：netview\\ip

解释：前提是建立了空连接后，用此命令可以查看远程主机的共享资源，如果它开了共享，可以得到如下面的结果，但此命令不能显示默认共享。在\\*.*.*.*的共享资源 资源共享名类型用途注释1/15/202327电子科技大学成都学院3查看远程主机的当前时间命令：nettime\\ip解释：用此命令可以得到一个远程主机的当前时间。

4得到远程主机的NetBIOS用户名列表（需要打开自己的NBT）

命令：nbtstat-Aip

解释：用此命令可以得到一个远程主机的NetBIOS用户名列表。

通过空连接，可以借助第三方工具对远程主机的管理账户和弱口令进行枚举。猜到弱口令便可进一步完成入侵，并植入后门。1/15/202328电子科技大学成都学院防范ipc$入侵1禁止空连接进行枚举运行regedit

，找到如下主键

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\LSA]

把RestrictAnonymous=DWORD的键值改为：1注意：如果设置为“1”，一个匿名用户仍然可以连接到IPC$共享，但无法通过这种连接得到列举SAM帐号和共享信息的权限；在Windows2000中增加了“2”，未取得匿名权的用户将不能进行ipc$空连接。建议设置为1。若主键不存在，则新建一个再改键值。此外，也可以在本地安全设置中设置此项：在本地安全设置－本地策略－安全选项－'对匿名连接的额外限制'1/15/202329电子科技大学成都学院2禁止默认共享1）察看本地共享资源运行-cmd-输入netshare2）删除共享（重起后默认共享仍然存在）

netshareipc$/delete

netshareadmin$/delete

netsharec$/delete

netshared$/delete如果有e,f,……则可以继续删除

1/15/202330电子科技大学成都学院3）停止server服务

netstopserver/y（重新启动后server服务会重新开启）4）禁止自动打开默认共享（此操作并不能关闭ipc$共享）运行-regedit

server版:找到主键

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

将AutoShareServer（DWORD）的键值改为:00000000。1/15/202331电子科技大学成都学院pro版:找到如下主键

[HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\LanmanServer\Parameters]

将AutoShareWks（DWORD）的键值改为:00000000。3关闭ipc$和默认共享依赖的服务:server服务控制面板-管理工具-服务-找到server服务（右击）-属性-常规-启动类型-选已禁用4设置复杂密码，防止通过ipc$穷举出密码。1/15/202332电子科技大学成都学院3.5针对IIS漏洞攻击3.5.1Unicode漏洞漏洞分析NSFOCUS安全小组发现IIS4.0和IIS5.0在Unicode字符解码的实现中存在一个安全漏洞，导致用户可以远程通过IIS执行任意命令。当IIS打开文件时，如果该文件名包含unicode字符，它会对其进行解码，如果用户提供一些特殊的编码，将导致IIS错误的打开或者执行某些web根目录以外的文件。1/15/202333电子科技大学成都学院3.5针对IIS漏洞攻击后果通过漏洞，攻击者可查看文件内容、建立文件夹、删除文件、拷贝文件且改名、显示目标主机当前的环境变量、把某个文件夹中的全部文件一次性拷贝到另外的文件夹中、把某个文件夹移动到指定的目录、显示某一路径下相同文件类型的文件内容等。1/15/202334电子科技大学成都学院漏洞成因影响版本中文IIS4.0+SP6中文WIN2000+IIS5.0中文WIN2000+IIS5.0+SP1台湾繁体中文利用扩展Unicode字符（如用“../”取代“/”和“\”）进行目录遍历漏洞。“\”在WinNT4编码为：%c1%9c，而在Win2000英文版编码为：%c0%af。1/15/202335电子科技大学成都学院对于IIS5.0/4.0中文版，当IIS收到的URL请求的文件名中包含一个特殊的编码例如“%c1%hh”或者“%c0%hh”它会首先将其解码变成:0xc10xhh，然后尝试打开这个文件。Windows系统认为0xc10xhh