2.黑客的行为发展趋势步入21世纪以后,黑客群体又有了新的变化和新的特征,主要表现在以下几个方面。(1)黑客群体的扩大化由于计算机和网络技术的普及,一大批没有受过系统的计算机教育和网络技术教育的黑客人才涌现出来。他们中的很多人不是计算机专业的毕业生,甚至有一些是十几岁的中学生。(2)黑客的组织化和团体化黑客界已经意识到单靠一个人的力量远远不够了,已经逐步形成了一个团体,利用网络进行交流和团体攻击,互相交流经验和自己写的工具。由于组织化和团体化特征的出现,使得黑客攻击的威胁性增大,黑客攻击的总体水平提高很快。(3)动机复杂化黑客的动机目前已经不再局限于为了国家、金钱和刺激,已经和国际的政治变化、经济变化紧密地结合在一起。
②体系结构探测。体系结构探测又叫作系统扫描,攻击者使用具有已知响应类型的数据库的自动工具,对来自目标主机的坏数据包传送所做出的响应进行检查。由于每种操作系统都有独特的响应方法,通过与数据库中的已知响应比较,能够确定出目标主机所运行的操作系统,甚至可以了解到目标的系统配置,确定目标所使用的软件。③利用信息服务。
进行网络攻击并不是件简单的事,它是一项复杂及步骤性很强的工作。一般的攻击都分为3个阶段,即攻击的准备阶段、攻击的实施阶段、攻击的善后阶段,如图2.1所示。
1.常用DOS命令(1)ping命令ping命令是入侵者经常使用的网络命令,该命令用于测试网络连接性,通过发送特定形式的ICMP包来请求主机的回应,进而获得主机的一些属性。ping命令的使用格式如下。
因此,入侵者便可以根据不同的TTL返回值来推测目标究竟属于何种操作系统。对于入侵者的这种信息收集手段,网管可以通过修改注册表来改变默认的TTL返回值。在一般情况下黑客是如何得到目标IP地址和目标主机的地理位置的呢?他们可以通过以下方法来实现。①由域名得到网站IP地址。
从图2.2可以看出,www.baidu.com对应的IP地址为202.108.22.43。
例如,要查询202.108.22.5(百度的IP)的物理地址,可以在图2.4所示的“IP地址”右面的文本框输入“202.108.22.5”,然后单击“查询”按钮,就会得到如图2.5所示的查询结果。
(2)netstat命令netstat命令有助于了解网络的整体使用情况。它可以显示当前正在活动的网络连接的详细信息,如采用的协议类型、当前主机与远端相连主机(一个或多个)的IP地址以及它们之间的连接状态等。netstat命令的使用格式如下。
参数说明如下。[-a]显示所有主机的端口号。[-e]显示以太网统计信息,该参数可以与-s选项结合使用。[-n]以数字表格形式显示地址和端口。[-s]显示每个协议的使用状态(包括TCP、UDP、IP)。[-pproto]显示特定协议的具体使用信息。[-r]显示本机路由表的内容。[interval]重新显示所选的状态,每次显示之间的间隔数(单位秒)。netstat命令的主要用途是检测本地系统开放的端口,这样做可以了解自己的系统开放了什么服务,还可以初步推断系统是否存在木马,因为常见的网络服务开放的默认端口轻易不会被木马占用。(3)nbtstat命令nbtstat命令用于显示本地计算机和远程计算机的基于TCP/IP(NetBT)的NetBIOS统计资料、NetBIOS名称表和NetBIOS名称缓存。nbtstat可以刷新NetBIOS名称缓存和注册的WindowsInternet名称服务(WINS)名称。使用不带参数的nbtstat显示帮助。nbtstat命令的使用格式如下。
(2)tracert命令tracert是路由跟踪命令,通过该命令的返回结果,可以获得本地到达目标主机所经过的网络设备。tracert命令的使用格式如下。
X-Scan的使用步骤如下。步骤1:设置检测范围。步骤2:设置扫描模块。
步骤4:设置待检测端口,确定检测方式。
(2)流光Fluxay流光是非常优秀的扫描工具,它是由国内高手小榕精心打造的综合扫描器。其功能非常强大,不仅能够像X-Scan那样扫描众多漏洞、弱口令,而且集成了常用的入侵工具,如字典工具、NT/IIS工具等,还独创了能够控制“肉鸡”进行扫描的“流光Sensor工具”和为“肉鸡”安装服务的“种植者”工具。(3)X-PortX-Port提供多线程方式扫描目标主机开发端口,扫描过程中根据TCP/IP堆栈特征被动识别操作系统类型,若没有匹配记录,尝试通过NetBIOS判断是否为Windows系列操作系统并尝试获取系统版本信息。X-Port提供两种端口扫描方式:标准TCP连接扫描和SYN方式扫描。(4)SuperScanSuperScan是一个集“端口扫描”、“ping”、“主机名解析”于一体的扫描器。其功能如下。
(5)其他端口扫描工具PortScanner、NMAP、X-WAY。
当前的网络设备基本上都是依靠认证来实现身份识别与安全防范的。在众多认证方式中,基于“账号/密码”的认证最为常见,应用也最为广泛。针对该方式的入侵主要有IPC$、Telnet等。1.IPC$入侵IPC$是Windows系统特有的一项管理功能,是Microsoft公司为了方便用户使用计算机而设定的,主要用来远程管理计算机。但事实上使用这个功能最多的人不是网管,而是入侵者。他们通过建立IPC$连接与远程主机实现通信和控制。IPC(InternetProcessConnection)可以理解为“命令管道资源”,这是Windows系统提供的一个通信基础,用来在两台计算机进程之间建立通信连接,而IPC后面的$表示它是隐藏的共享。通过这项功能,一些网络程序的数据交换可以建立在IPC上面,实现远程访问和管理计算机。通过IPC$连接,入侵者能够实现控制目标主机,因此,这种基于IPC的入侵也常常被简称为IPC入侵。通过IPC$连接的建立,入侵者能够做到以下两点。
还可以使用PSEXEC,将本地可执行程序复制到远程主机执行,如运行命令psexec\192.168.0.106-uadministrator-p“”-ccalc.exe,如图2.12所示。
(2)查杀进程入侵者对远程主机的彻底控制,还包括远程查看、杀死远程主机的进程。使用PSEXEC和Aproman可以实现这一过程。其中,工具“PSEXEC”用来远程执行命令,工具“AproMan”用来查看进程、端口与进程的关联关系,并杀死指定进程,还可以把进程和模块列表导出到文本文件中。Aproman的使用方法如下。AProMan.exe-a:查看进程。Aproman.exe-p:显示端口进程关联关系(需要Administrator权限)。Aproman.exe-t[PID]:杀掉指定进程号的进程。Aproman.exe-f[FileName]:把进程及模块信息存入文件。使用PSEXEC和Aproman查、杀进程实例。步骤1:将Aproman.exe复制到本机磁盘。步骤2:使用PSEXEC将Aproman.exe复制到目的主机并执行。步骤3:通过指定进程号杀死远程主机的进程。使用命令psexec\192.168.0.106-uadministrator-p“”-daproman-t1280。除了使用工具“PSEXEC”与“AproMan”来实现查杀进程外,还可以通过工具“pslist.exe”与“pskill.exe”。通过这两款工具实现查杀进程,并不用把任何程序复制到远程主机内部,pslist.exe和pskill.exe可在本地对远程主机的进程进行操作。pslist.exe是命令行方式下远程查看进程的工具,其使用方法如下。
各参数含义如下。[-t]显示线程。[-m]显示内存细节。[-x]显示进程、内存和线程。name列出指定用户的进程。pid显示指定PID的进程信息。pskill.exe是命令行方式下远程杀进程的工具,其使用方法如下。
IIS被称为Internet信息服务器。它在Windows系统中提供Internet服务,作为Windows组件附加在Windows系统中。通过IIS,Windows系统的用户可以方便地提供Web服务、FTP服务、SMTP服务等。IIS服务器在方便用户使用的同时,也带来了许多安全隐患。据说IIS的漏洞有千余种,能被用来入侵的漏洞大多数属于“溢出”型漏洞。对于这种漏洞,入侵者能够通过发送特定格式的数据来使远程服务器缓冲区溢出,从而突破系统的保护在溢出后的空间中执行任何命令。IIS主要有以下5种漏洞:.ida&.idq漏洞、.Printer漏洞、Unicode漏洞、.asp映射分块编码漏洞和WebDAV漏洞。只要IIS服务器存在其中的任意一种漏洞,都可导致入侵,入侵者在入侵远程IIS服务器之前,会使用很多手段来搜集一些关键信息,如利用专门的扫描器对远程的IIS服务器的信息进行搜集。1..ida&.idq漏洞其具体描述如表2.4所示。
2..printer漏洞其具体描述如表2.5所示。
3.Unicode漏洞其具体描述如表2.6所示。
4..asp映射分块编码漏洞其具体描述如表2.7所示。
5.WebDAV远程缓冲区溢出漏洞其具体描述如表2.8所示。
如果操作系统是Windows98或Windows95,则输入如下内容:
将文件保存为名为“Unlock.reg”的注册表文件。双击运行该文件,即可将该文件导入注册表中,然后使用常规打开注册表编辑器的方法就可以重新打开注册表编辑器了。方法2:在Windows2000/XP/2003系统中,从“开始”菜单中选择“运行”,在打开的“运行”对话框中输入“gpedit.msc”,单击“确定”按钮,即可打开“组策略”编辑器窗口(见图2.16)。从左侧栏中依次选择“用户配置”→“管理模板”→“系统”选项,在右侧栏中双击“阻止访问注册表编辑工具”,可以打开“阻止访问注册表编辑工具属性”对话框,选择“已禁用”单选项,单击“确定”按钮,即可恢复禁用的注册表编辑器,如图2.17所示。
(2)删除“远程注册表服务”入侵者远程入侵注册表需要先启用“远程注册表服务”(RemoteRegistryService),因此为了阻止黑客的入侵,可以将该服务删除。方法是找到注册表中HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services下的RemoteRegistry项,在其上单击鼠标右键,选择“删除”选项,将该项删除后就无法启动该服务了,即使我们通过“控制面板”→“管理工具”→“服务”进行启动也会出现相应的错误提示,根本无法启动该服务。需要注意的是,对于注册表的修改一定要谨慎,因此在修改前,一定要将该项信息导出并保存,以后再想使用该服务时只需要将已经保存的注册表文件导入即可。另外,如果觉得将服务删除不安全的话还可以将其改名,也可以起到一定的防护作用。2.入侵远程主机的注册表(1)开启远程主机的“远程注册表服务”入侵者一般都通过远程进入目标主机注册表,因此,如果要连接远程目标主机的“网络注册表”实现注册表入侵的话,除了能成功地建立IPC$连接外,还需要远程目标主机已经开启了“远程注册表服务”,如图2.18所示。
开启远程主机服务的过程如下。①建立IPC$连接。②打开“计算机管理”,使用“计算机管理”管理远程计算机。③开启远程注册表服务。④关闭“计算机管理”,断开IPC$连接。(2)连接远程主机的注册表入侵者可以通过Windows自带的工具连接远程主机的注册表并进行修改。具体步骤如下。①执行regedit来打开注册表编辑器。打开“运行”对话框,输入“regedit”命令,如图2.19所示。
②建立IPC$连接。③连接远程主机注册表。在注册表编辑器界面中,选择“注册表”→”连接网络注册表”,然后在弹出的对话框内输入远程主机的IP地址,最后单击“确定”按钮。连接网络注册表成功后,入侵者可以通过该工具在本地修改远程注册表。这种方式得到的网络注册表只有3个根项。④断开网络注册表。当修改完远程主机的注册表后,需要断开网络注册表。鼠标右键单击远程主机的IP地址处,在弹出的快捷菜单中选择“断开”选项。3.使用reg文件修改注册表入侵者除了使用网络注册表连接远程主机的注册表外,还可以通过手工导入reg文件的方法来修改远程主机的注册表,只要拥有权限,便可以通过这种方式修改注册表任意一项。(1)reg文件的使用reg文件是Windows系统中的一种特定格式的文本文件,它是方便用户或安装程序在注册表中添加信息而设计的。它有自己固定的格式,扩展名为reg。①添加主键的方法。步骤1:打开记事本,然后编辑添加主键,在记事本中输入:
步骤2:保存文件为test1.reg,双击该文件,便建立了HACK主键,如图2.20所示。②添加键值项方法。为HACK主键建立一个名字为“NAME”,类型为“DWORD”,值为“00000000”的键值项。
在记事本中输入:
保存为TEST2.REG文件,然后双击导入,如图2.21所示。
③删除键值项的方法。在记事本中输入:
然后保存为TEST3.REG文件,双击导入注册表,就可以删除键值项。④删除主键。在记事本中输入:
保存为TEST4.REG文件,双击导入注册表,就可以删除主键。(2)命令行导入通过双击注册表文件把注册信息导入,每次导入都会有提示对话框,如图2.22所示,容易被远程主机管理员发现。通过以下两种方法把注册表信息通过无询问式地导入注册表。方法1:使用专门的注册表导入工具。方法2:使用Windows系统自带的导入工具。Windows自带的导入工具使用命令:
regedit是系统自带的命令,不使用任何工具。/s表示不需要询问,直接导入。(3)远程关机修改完注册表后,只有远程主机重新启动后才能使修改生效。通过以下两种方法来关闭远程主机。①远程关机方法一。
在对网络攻击进行上述分析与识别的基础上,还应当认真制定有针对性的策略,明确安全对象,设置强有力的安全保障体系,有的放矢,在网络中层层设防,发挥网络的每层作用,使每一层都成为一道关卡,从而让攻击者无隙可钻、无计可施。还必须做到未雨稠缪,预防为主,将重要的数据备份并时刻注意系统运行状况。下面列出几条安全解决方案以供参考。①加强个人网络安全保护意识。
②删除默认的共享,尽量不要开放共享资源,资源迫不得已可以将访问者的权限降至最低。③禁止空连接进行枚举攻击。④使用正版防火墙软件和杀毒工具,及时升级。⑤设置代理服务器,隐藏自已的IP地址。⑥将防毒、防黑当成日常性工作,定时更新防毒组件,将防毒软件保持在常驻状态,以彻底防毒。⑦对于重要的个人资料做好严密的保护,并养成资料备份的习惯。
当非法用户尝试对网络进行破坏前,首先探测和分析网络的基本信息、状态以及结构。为了在这些探测和分析中隐藏自己的行踪,主要采取以下几种方法。1.文件传输与文件隐藏技术所谓“隐藏入侵”,是指入侵者利用其他计算机代替自己执行扫描、漏洞溢出、连接建立、远程控制等操作。入侵者们把这种代替他们完成入侵任务的计算机称为“肉鸡”。在隐藏技术中必然涉及入侵者将文件传输到“肉鸡”中并隐藏的问题。(1)几种文件传输方式
(2)文件隐藏
2.扫描隐藏技术入侵者通过制作“扫描代理肉鸡”的方法来隐藏自己的扫描行为。手工制作扫描代理是入侵者们制作扫描型“肉鸡”的通用方法,其思路是把扫描器传输到“肉鸡”内部,然后入侵者通过远程控制使该“肉鸡”执行扫描程序。入侵者通过这种方法能够实现“多跳”扫描。3.入侵隐藏技术在入侵中,入侵者一般利用跳板技术实现隐藏。这里指的跳板可称为“入侵代理”或“入侵型肉鸡”,它存在于入侵者与远程主机/服务器之间,用来代替入侵者与远程主机/服务器建立网络连接或者漏洞溢出。这种间接的连接方式可以避免与远程主机/服务器的直接接触,从而实现入侵中的隐藏。如图2.23所示,入侵者通过跳板一、跳板二与远程主机/服务器建立连接,可以看出,在该攻击模型中,与远程主机/服务器直接接触的只有“跳板二”主机,因此,即使入侵行为被远程主机/服务器发觉,也能够直接查出只是“跳板二”主机,入侵者主机没有直接暴露给远程主机/服务器,实现了入侵中的隐身。
从入侵者角度来看,后门分为账号后门、漏洞后门和木马后门。1.账号后门账号永远是系统敞开的大门。入侵者为了能够永久控制远程主机/服务器,他们会在第一次入侵成功后便马上在远程主机/服务器内部建立一个备用的管理员账号,这种账号就是“后门账号”。入侵者常用的留账号后门的方法是克隆账号。克隆账号是通过修改注册表的SAM来实现的。SAM(SecurityAccountManager)是专门用来管理Windows系统中账号的数据库,里面存放了一个账号所有的属性,包括账号的配置文件路径、账号权限、账号密码等。要修改SAM,经常需要使用工具PSU.exe,使用方式是:psu[参数选项]
(1)克隆账号的步骤步骤1:打开注册表编辑器,可以看到SAM一般是无法进行修改的。如果想修改,必须提升权限,如图2.24所示。步骤2:通过进程管理器查看System进程,并记录该进程PID,Windows2000一般为8,如图2.25所示。
步骤3:使用psu.exe提升权限,如图2.26所示。步骤4:查看SAM中的账号信息,其中Users\Names下有所有账号列表,在User键下,以十六进制数字为名的键记录着账号的权限、密码等配置。步骤5:克隆账号,就是把Guest账号的权限克隆为管理员权限。步骤6:禁用Guest账号,如图2.27所示。
步骤7:查看Guest账号。使用的命令如下。
步骤8:使用Guest账号进行IPC$连接,测试账号是否可用。如图2.28所示,虽然在步骤6中禁用了Guest账号,我们仍然可以使用该账号。
(2)命令行方式克隆账号①使用命令行方式克隆账号需要以下工具。
②命令行方式克隆账号的步骤如下。步骤1:编写BAT文件backdoor.bat。
步骤2:使用pslist.exe查看远程主机的System进程PID,使用命令为“pslist\ip-u用户名-p密码”。步骤3:上传backdoor.bat,运行批处理进行账号克隆。步骤4:建立IPC$连接进行验证,退出。2.漏洞后门通过前面介绍的服务器IIS上的Unicode、.ida&.idq等漏洞,入侵者能够毫不费力地远程控制服务器的操作系统。实际上,入侵者不仅能够通过漏洞实现最初的入侵,还能够通过制造漏洞来留下系统的后门。(1)制造Unicode漏洞步骤1:找出Web根目录。步骤2:复制cmd.exe到IIS目录中,一般可放在IIS的Scripts文件夹中。步骤3:使用文件隐藏方法隐藏文件。步骤4:验证Unicode后门。(2)制造.idq漏洞步骤1:把idq.dll传入远程服务器的Scripts目录中。步骤2:隐藏后门文件。步骤3:利用.idq或.ida漏洞进行入侵。3.木马后门木马具有体积小、功能强的特点,有一些木马相当于一个嵌入在Windows系统内部的微型系统,通过与木马的连接,入侵者可以不经过任何认证而直接控制Windows系统,从而实现远程控制。实际上,入侵者除了使用木马进行入侵外,还经常使用木马制作系统后门。常见的木马后门程序有Wollf、Winshell、WinEggDrop、SQL后门。
【实训目的】
【实训需求】●计算机一台,并安装Windows2000操作系统虚拟机。
①设置扫描地址范围。X-SCAN扫描范围的设置如图2.30所示。
②在扫描模块中设置要扫描的项目,如图2.31所示。
③设置并发扫描参数,如图2.32所示。
④在扫描中跳过没有响应的主机,如图2.33所示。
⑤设置要检测的端口及检测方式,如图2.34所示。
⑥开始扫描,查看扫描报告。2.主机入侵(1)IPC$连接的建立与断开通过IPC$连接远程目标主机的条件是已获得目标主机管理员账号和密码。①执行“开始”→“运行”命令,在“运行”对话框中输入“cmd”。②建立IPC$连接,假设192.168.21.21这台计算机“administrator”用户的密码为“qqqqqq”,则输入命令:
③映射网络驱动器,使用命令:
④映射成功后,打开“我的电脑”,会发现多了一个Z盘,该磁盘即为目标主机的C盘。
⑤查找指定文件,用鼠标右键单击Z盘,在弹出的快捷菜单中选择“搜索”选项,查找关键字“账目”,结果如图2.37所示。将该文件夹复制、粘贴到本地磁盘,其操作就像对本地磁盘进行操作一样。
⑥断开连接,输入“netuse*/del”命令断开所有的IPC$连接,如图2.38所示。
⑦通过命令:“netuse\目标IP\ipc$\del”可以删除指定目标IP的IPC$连接。(2)建立后门账号①编写BAT文件。打开记事本,输入“netusersysback123456/add”和“netlocalgroupadministratorssysback/add”命令,编写完后,另存为“hack.bat”,如图2.39所示。
②与目标主机建立IPC$连接。③复制文件到目标主机。打开MS-DOS,输入“copyhack.bat\192.168.21.21\d$”命令。COPY命令执行成功后,就已经把E盘下的hack.bat文件复制到192.168.21.21的D盘内,如图2.40所示。
④开启“计划任务”服务,如图2.44所示。
⑤开启Telnet服务,如图2.45所示。
⑥查看计算机管理中的信息,如图2.46所示。
⑦去掉NTML验证。[方法1]
[方法2]
⑧使用telnet命令进行Telnet连接测试。3.IIS漏洞的入侵(1)基于*.ida漏洞的入侵①扫描远程服务器,寻找有漏洞的主机。打开X-scan,按照如图2.47和图2.48所示,填好扫描项目,开始扫描远程主机。扫描完毕后,在扫描报告中,发现远程服务器192.168.26.201存在IIS.IDAISAPI过滤器漏洞。
④建立账号,如图2.51所示。入侵成功后,在远程服务器上建立管理员账号,如图2.52所示。
注释:Tftp工具的使用方式如表2.11所示。
4.密码的克隆①试运行权限提升工具PSU.exe,查看使用方法,如图2.58所示。
②进入任务管理器,查看System的PID号,如图2.59所示,PID为8。
③使用PSU工具进行权限的提升,如图2.60所示。
④在注册表中找到存放系统账号名称以及配置信息的注册项,如图2.61所示。
⑤找到Administrator,查看它的类型,如图2.62所示,它的类型为0x1f4。
⑥由于采用十六进制换算过来就是000001F4这个项,所以000001F4这个项存放的就是系统管理员的权限及配置信息,如图2.63所示。
⑦打开F项,把里面的十六进制数据复制出来,如图2.64所示。⑧使用刚才的方法找到Guest用户,打开相同的项,把刚才复制的十六进制数据粘贴进去,如图2.65所示。⑨为了隐蔽性应把Guest账号禁用,首先在命令行模式下输入“netuserguest/active:no”,如图2.66所示。查看当前Guest账号的状态。在命令行下输入“netuserGuest”。由图2.67可以看出Guest用户只属于Guest组。接下来打开计算机管理账号中的账号管理,可以发现Guest用户已经被禁用了。
本文仅用于学习和交流目的,不代表人邮教育社区观点。非商业转载请注明作译者、出处,并保留本文的原始链接。
2007-2024人邮教育社区·人民邮电出版社有限公司·Allrightsreserved